WO2022139078A1 - Apparatus for providing e-mail security service using hierarchical architecture based on security level and operation method therefor - Google Patents
Apparatus for providing e-mail security service using hierarchical architecture based on security level and operation method therefor Download PDFInfo
- Publication number
- WO2022139078A1 WO2022139078A1 PCT/KR2021/006395 KR2021006395W WO2022139078A1 WO 2022139078 A1 WO2022139078 A1 WO 2022139078A1 KR 2021006395 W KR2021006395 W KR 2021006395W WO 2022139078 A1 WO2022139078 A1 WO 2022139078A1
- Authority
- WO
- WIPO (PCT)
- Prior art keywords
- information
- security
- inspection
- security threat
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 154
- 238000007689 inspection Methods 0.000 claims abstract description 184
- 230000008569 process Effects 0.000 claims abstract description 118
- 238000012545 processing Methods 0.000 claims abstract description 95
- 238000004458 analytical method Methods 0.000 claims abstract description 61
- 230000002159 abnormal effect Effects 0.000 claims description 25
- 238000012360 testing method Methods 0.000 claims description 9
- 238000001784 detoxification Methods 0.000 claims description 7
- 238000007726 management method Methods 0.000 description 29
- 238000004891 communication Methods 0.000 description 16
- 230000006870 function Effects 0.000 description 16
- 230000005540 biological transmission Effects 0.000 description 9
- 238000010586 diagram Methods 0.000 description 9
- 238000005516 engineering process Methods 0.000 description 9
- 230000000903 blocking effect Effects 0.000 description 8
- 238000000682 scanning probe acoustic microscopy Methods 0.000 description 6
- 208000015181 infectious disease Diseases 0.000 description 4
- 230000004044 response Effects 0.000 description 4
- 238000010295 mobile communication Methods 0.000 description 3
- 238000012384 transportation and delivery Methods 0.000 description 3
- 238000012795 verification Methods 0.000 description 3
- 230000005856 abnormality Effects 0.000 description 2
- 230000008901 benefit Effects 0.000 description 2
- 230000006866 deterioration Effects 0.000 description 2
- 238000010191 image analysis Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000011017 operating method Methods 0.000 description 2
- 230000002265 prevention Effects 0.000 description 2
- 230000007704 transition Effects 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 238000013473 artificial intelligence Methods 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000003745 diagnosis Methods 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- 230000001939 inductive effect Effects 0.000 description 1
- 230000010365 information processing Effects 0.000 description 1
- 238000010606 normalization Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000003672 processing method Methods 0.000 description 1
- 238000013468 resource allocation Methods 0.000 description 1
- 230000002194 synthesizing effect Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L51/00—User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
- H04L51/21—Monitoring or handling of messages
- H04L51/212—Monitoring or handling of messages using filtering or selective blocking
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q50/00—Information and communication technology [ICT] specially adapted for implementation of business processes of specific business sectors, e.g. utilities or tourism
- G06Q50/60—Business processes related to postal services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L51/00—User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1483—Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Definitions
- the present invention relates to an apparatus for providing an email security service and an operating method thereof, and more particularly, to an email using a security level-based hierarchical architecture capable of detecting and blocking cyber threats such as malicious code infection and social engineering hacking through email It relates to a security service providing apparatus and an operating method thereof.
- Technology fields such as the Internet of Things (IoT), cloud systems, big data, and artificial intelligence (AI) are providing a new service environment in combination with information and communication technology.
- a system providing such a service can be used in real life by being connected to a PC or a portable terminal device through a wireless Internet network or the like.
- an information protection system that protects and manages systemized information and communication technologies can be utilized.
- the information protection system can be built according to the system type or technical characteristics of information and communication technology to respond to various cyber threats and can be applied in stages.
- the e-mail system used in information and communication technology can provide an e-mail service including a body of content so that a message can be exchanged between users using a communication line between users through a computer terminal.
- an electronic file including content to be shared may be attached to the e-mail, or a website connection link (URL; Uniform Resource Locator) may be written in the body or inserted in the attached file.
- URL Uniform Resource Locator
- an executable electronic file containing malicious code may be attached with malicious intent through the e-mail system, or a URL that may link to a specific website may be inserted.
- a URL that may link to a specific website may be inserted.
- Korean Patent Registration No. 10-1595379 'a system for controlling and blocking e-mails with malicious codes' is disclosed.
- the registered patent includes a function of receiving an e-mail from a target system when an e-mail sent from an external server or terminal is transmitted via a firewall and a spam blocking device having a built-in anti-spam software; The system checks whether there is an attachment. If there is no attachment, the e-mail is sent from the target system to the mail server.
- the attachment type is a document
- the document is converted to a PDF format that cannot be modified and the email recipient clicks on the URL that reflects the malicious code inside the document to prevent malicious code infection in the user's terminal in advance.
- Virtual BOX which receives the executable file from the target system, constitutes a virtual environment as a separate system, and is equipped with various types of malware treatment solutions to process malicious code inspection and treatment hidden in the executable file, and send the result back to the target system a Virtual BOX that delivers and restores to the environment before the test; a mail server having a function of receiving an e-mail (including a notification mail) from the target system and delivering an e-mail (including a notification mail) to a user terminal; Malicious comprising; a user terminal having a function for a user to select whether to accept or reject an original e-mail through confirmation of a notification e-mail when receiving a notification e-mail from the target system, and a function to log in and check the received e-mail; It describes a system for controlling and blocking e-mails with attached codes.
- the system for controlling and blocking e-mails with such malicious code is limited to the response system at the receiving side of the e-mail. There is a limit to the countermeasures against cyber security threats on the processing side.
- the present invention is to solve the above conventional problems, and cyber security such as spam, hacking, fraud, etc. that can be considered in terms of incoming mail, outgoing mail, in-system mail processing, user terminal device, etc. processed in an email system
- An object of the present invention is to provide a device for providing an email security service capable of responding to cyber security threats in stages and controlling and managing the email system using a security level-based hierarchical architecture against threats and an operation method thereof.
- a method for operating an apparatus for providing an email security service comprising: a collecting step of collecting mail information transmitted and received between one or more user terminals; According to a preset security threat architecture, matching step-by-step of the mail security process corresponding to the mail information is processed, the mail information is checked by the matching-processed mail security process, and mail security inspection information according to the inspection result is obtained.
- an apparatus for solving the above problems, a collection unit for collecting mail information transmitted and received between one or more user terminals; According to a preset security threat architecture, matching step-by-step of the mail security process corresponding to the mail information is processed, the mail information is checked by the matching-processed mail security process, and mail security inspection information according to the inspection result is obtained.
- a security threat inspection unit that stores and manages; a mail processing unit for processing a mail status according to the mail security check information and security threat determination information obtained through analysis of the mail information; and a record management unit for storing and managing the mail information processed according to the security threat determination information as record information.
- the method according to an embodiment of the present invention for solving the above problems may be implemented as a program for executing the method or a computer-readable recording medium in which the program is recorded.
- Mails sent for malicious purposes can be blocked before the recipient can open them, or they can be converted into harmless mails to the system.
- it detects and blocks cybersecurity threats from the sending side of the email, and the internal side of the email management system detects potential threats such as suspected information leakage or inconsistency of IP address information for access to the managed system in advance to prevent it from being used for malicious purposes. Damage can be prevented in advance. In this way, it is possible to provide an e-mail service that guarantees safe information exchange and processing between users by controlling abnormal processing such as hacking, fraud, and spam that can be made through the e-mail system and preventing damage.
- FIG. 1 is a conceptual diagram illustrating an entire system according to an embodiment of the present invention.
- FIG. 2 is a block diagram illustrating an apparatus for providing a mail security service according to an embodiment of the present invention.
- FIG. 3 is a block diagram for explaining in more detail some configurations of an apparatus for providing a mail security service according to an embodiment of the present invention.
- FIG. 4 is a flowchart illustrating a method of operating an apparatus for providing a mail security service according to an embodiment of the present invention.
- FIG. 5 is an exemplary diagram for explaining a checking method according to an architecture of a mail security service according to an embodiment of the present invention.
- processor control or similar concepts should not be construed as exclusively referring to hardware having the ability to execute software, and without limitation, digital signal processor (DSP) hardware, ROM for storing software. It should be understood to implicitly include (ROM), RAM (RAM) and non-volatile memory. Other common hardware may also be included.
- DSP digital signal processor
- 'Mail' as used herein means e-mail, web mail, e-mail, and Terms such as e-mail can be collectively used.
- FIG. 1 is a conceptual diagram illustrating an entire system according to an embodiment of the present invention.
- a system includes a service providing apparatus 100 , a user terminal 200 , and a mail server 300 .
- the service providing apparatus 100 , the user terminal 200 , and the mail server 300 may be connected to one or more of wired and wireless via a connection to a public network to transmit/receive data.
- the public network is a communication network built and managed by the country or a telecommunication key business operator.
- a connection service is provided so that an unspecified number of ordinary people, including a telephone network, a data network, a CATV network, and a mobile communication network, can access other communication networks or the Internet.
- the public network is represented by replacing the network.
- the service providing apparatus 100 , the user terminal 200 , and the mail server 300 may include respective communication modules for communicating with a protocol corresponding to each communication network.
- the service providing device 100 may be connected to each user terminal 200 and the mail server 300 through a wired/wireless network in order to provide a mail security service, and the device or terminals connected to each network have a preset network channel. can communicate with each other.
- each of the networks is a local area network (LAN), a wide area network (WAN), a value added network (VAN), a personal local area network (PAN), a mobile communication network ( Mobile radio communication network) or all types of wired/wireless networks, such as satellite communication networks, may be implemented.
- LAN local area network
- WAN wide area network
- VAN value added network
- PAN personal local area network
- Mobile radio communication network Mobile radio communication network
- the service providing apparatus 100 described in this specification provides a mail security service capable of detecting and blocking attacks that cause unintended execution of programs through mail, deterioration of data processing capabilities of mail-related systems, and phishing scams.
- the user terminal 200 described in this specification is a PC (personal computer), a notebook computer (laptop computer), a mobile phone (Mobile phone), a tablet PC (Tablet PC), PDA (Personal Digital Assistants), PMP (Portable Multimedia Player) ), etc. may be included, but the present invention is not limited thereto, and may be a device capable of connecting to the service providing apparatus 100 and the mail server 300 through a public network or a private network.
- each device may be a variety of devices capable of inputting and outputting information through application driving or web browsing.
- the user terminals 200 may be connected to the service providing apparatus 100 through an individual security network.
- the mail server 300 is a system for relaying and storing e-mail contents so that the user can transmit the mail created through the user terminal 200 or the other party can receive the mail created through the user terminal 200 .
- the mail server 300 may communicate with each other by using a preset protocol according to the purpose of use of processing receiving and sending mail.
- the protocol may be used when receiving and processing mail.
- the protocol may use SMTP (Simple Mail Transfer Protocol) when sending mail.
- the mail server 300 may be configured and operated as a server system for mail transmission/reception processing.
- the mail server 300 may be subdivided into a mail receiving server and a mail sending server to provide respective functions.
- FIGS. 2 and 3 are block diagrams for explaining an apparatus for providing a mail security service according to an embodiment of the present invention.
- the service providing apparatus 100 includes a control unit 110 , a collection unit 120 , a security threat inspection unit 130 , a relationship analysis unit 140 , It may include a mail processing unit 150 , a user terminal control unit 160 , a records management unit 170 , a vulnerability test unit 180 , and a communication unit 190 .
- the control unit 110 may be implemented as one or more processors for overall controlling the operation of each component of the service providing apparatus 100 .
- the collection unit 120 may collect mail information transmitted and received between one or more user terminals 200 .
- the e-mail information may include e-mail header information, e-mail subject, e-mail content body, number of times received for a certain period, and the like.
- the email header information includes a mail sending server IP address, mail sending server host name information, sender mail domain information, sender mail address, mail receiving server IP address, mail receiving server host name information, recipient mail domain information, recipient mail It may include an address, mail protocol information, mail reception time information, mail transmission time information, and the like.
- the email header may include network path information necessary for a process of sending and receiving mail, protocol information used between mail service systems for mail exchange, and the like.
- the mail information may include the extension of the attached file, hash information of the attached file, the name of the attached file, the body of the attached file, Uniform Resource Locator (URL) information, and the like.
- the attachment may include additional content for transmitting additional information or requesting an information reply in addition to the mail body content that the sender wants to deliver to the receiver.
- the content may provide text, an image, a video, and the like.
- the recipient can check the content by running an application corresponding to the file attached to the mail.
- the recipient can download the file attached to the mail to a local storage device and store and manage it.
- the extension of the attached file can distinguish the format or type of the file.
- the extension of the attached file may be divided into a character string indicating a file attribute or an application that created the file.
- a text file may be divided into [file name].txt
- an MS word file may be classified with an extension such as [file name].doc(docx)
- a Korean file may be distinguished by an extension such as [file name].hwp.
- the image file extension may be divided into gif, jpg, png, tif, and the like.
- Executable files which are computer files that additionally carry out the specified work according to the coded commands, are [file name].com, [file name].exe, [file name].bat, [file name].dll, [file name].sys, [ file name].scr, etc.
- the hash information of the attached file can ensure the integrity of the information by checking forgery of the information.
- the hash information or hash value may be mapped to a bit string of a certain length for arbitrary data having an arbitrary length through a hash function.
- the hash information output through the hash function for the initially created attached file has a unique value.
- the output hash information or hash value has unidirectionality in that data input to the function cannot be extracted.
- the hash function can guarantee collision avoidance that is computationally impossible for another input data that provides the same output as hash information or hash value output with respect to one given input data. Accordingly, when the data of the attached file is modified or added, the output value of the hash function is returned differently.
- the unique hash information of the attached file can be checked whether the file has been modified or forged by comparing the hash information or hash value with respect to a file sent and received through mail.
- the hash information is fixed as a unique value, it is possible to enable proactive prevention measures by using reputation information, which is a database of past histories for files created with malicious intent.
- the hash function may be used as a technology and version that can ensure unidirectionality and collision avoidance.
- the hash information may be used as search information for whether or not there is a malicious code in a file through the VirusTotal website or the Malwares website.
- Information such as a provider of the file and a hash value of the file may be provided through a website that provides analysis of the hash information of the file.
- the search result for the hash information of the file can be judged as more reliable information because it can cross-check the reputation information determined by global companies that provide multiple IT information security solutions.
- the security threat inspection unit 130 processes matching step-by-step of a mail security process corresponding to the mail information according to a preset security threat architecture, checks the mail information by the matching processed mail security process, and the inspection result It is possible to store and manage mail security inspection information according to
- the security threat architecture can be divided into spam email security threats, malicious code security threats, social engineering security threats, and internal information leakage security threats.
- the security threat type/level/process/priority/processing order may be set by the security threat architecture.
- the mail security process corresponding to the security threat architecture may include a spam mail security process, a malicious code security process, an impersonated mail security process, a mail export security process, and the like.
- different mail security processes corresponding to incoming mail or outgoing mail may be determined according to the security threat architecture.
- the inspection order or inspection level of the mail security process may be determined by a preset security level and architecture.
- the mail security process when mail information for reception or transmission is transmitted from the user terminal 200, an independently divided process is allocated as a resource, and a flexible resource allocation method that can be immediately executed in the inspection area allocated from the mail information is It can be described as a virtual space concept. In the method of allocating resources to the virtual space, when the processing is completed, the mail security process can immediately process the task in the inspection area allocated from the sequentially incoming mail information.
- an environment to which a certain process with limited processing within one resource is assigned such as a virtual environment or virtual machine, reduces the idle time when other processes wait until the processing of a specific process is completed when processing a requested task.
- the flexible resource may have an advantage in processing speed and performance compared to the fixed resource.
- the security threat inspection unit 130 may classify the mail for the purpose of reception or transmission according to the mail information collected by the collection unit 120 . Thereafter, the security threat inspection unit 130 may acquire mail security inspection information for each mail by matching and analyzing the mail security process sequentially or based on a set priority.
- the spam email security threat may include a type of email that is distributed indiscriminately to an unspecified number of people unilaterally and in bulk for the purpose of advertising and publicity between unrelated senders and recipients.
- a large amount of spam mail may cause a load on the data processing capability of the mail system, which may cause deterioration of the processing capability of the system.
- the spam mail may be unintentionally linked to the indiscriminate information included in the body of the content, and may be disguised as information for potential phishing scams.
- the security threat inspection unit 130 may include a spam mail inspection unit 131 .
- the spam mail inspection unit 131 sets the mail information including mail header information, mail title, mail content body, and the number of times received for a certain period in advance with a spam index and step-by-step can be matched with
- the spam mail inspection unit 131 may use the mail information including the mail header information, the mail title, and the mail content body as an inspection item in the spam index through a schedule pattern inspection that can be classified as spam mail. Through this, the spam mail inspection unit 131 can acquire, store, and manage spam mail inspection information by matching the spam indicators step by step.
- the spam indicator may be set to a level value through inspection items and inspection based on items included in the mail information step by step.
- the spam indicator may be subdivided and configured into Level 1, Level 2, Level 3, ..., Level [n].
- the spam indicator Level 1 may match the mail title data included in the mail information based on big data and reputation information. Through this, the spam indicator Level 1 can acquire the evaluated level value as the inspection information of the spam indicator Level 1.
- the level value may be set as information that can be quantitatively measured. For example, when the inspection information of the spam indicator Level 1 includes phrases such as 'advertisement' and 'publicity' in the mail title, which is an inspection item, it matches the information defined as spam in the big data and reputation information. In this case, it can be evaluated as '1' in the level values divided into 0 and 1. Through this, the inspection information of spam indicator Level 1 can be obtained as '1'.
- the spam indicator Level 2 may match data included in mail information based on a user-specified keyword. Through this, the spam indicator Level 2 can acquire the evaluated level value as the inspection information of the spam indicator Level 2 .
- the inspection information of the spam indicator Level 2 includes keywords including 'special price', 'super special price', 'sale', 'sale', 'out of stock', etc.
- the user-specified keyword matches the information defined as spam mail, it may be evaluated as '1' in a level value divided into 0 and 1. Through this, the inspection information of the spam indicator Level 2 can be obtained as '1'.
- the spam indicator Level 3 can match data included in mail information based on image analysis. Through this, the spam indicator Level 3 can acquire the evaluated level value as the inspection information of the spam indicator Level 3 . For example, when the inspection information of the spam indicator Level 3 includes a phone number starting with '080' in the data extracted by analyzing the image included in the main body of the mail content, which is the inspection item, the image analysis results in spam mail If it matches the information defined as , it can be evaluated as '1' in the level values divided into 0 and 1. Through this, the inspection information of spam indicator Level 3 can be obtained as '1'.
- the inspection information acquired in units of the spam indicator level through the spam mail security process may be finally summed ('3') and stored and managed as spam mail inspection information.
- the summed spam mail inspection information may be included in the mail security inspection information and managed, and may be utilized as security threat determination information in the mail processing unit 150 .
- the security threat inspection unit 130 may further include a malicious code inspection unit 132 .
- the malicious code inspection unit 132 further includes the extension of the attached file, hash information of the attached file, the name of the attached file, the body of the attached file, Uniform Resource Locator (URL) information, and the like. It is possible to match the mail information to a preset malicious code index step by step.
- the malicious code inspection unit 132 detects the attachment file content body and URL (Uniform Resource Locator) information included in the content body along with the attachment file extension, hash information of the attachment file, attachment file name, etc. It can be used as a malware index inspection item. Through this, the malicious code inspection unit 132 can acquire, store, and manage the malicious code inspection information by matching the malicious code index step by step according to the items.
- URL Uniform Resource Locator
- the malicious code index an inspection item based on an item included in the mail information and a level value through inspection may be set for each step.
- the malicious code index may be subdivided and configured into Level 1, Level 2, Level 3, ..., Level [n].
- the malicious code indicator Level 1 may match the name of the attached file and the extension of the attached file included in the mail information based on big data and reputation information. Through this, the level value evaluated for the malicious code index Level 1 can be acquired as inspection information of the malicious code index Level 1. For example, when the inspection information of the malicious code indicator Level 1 includes 'Trojan' and the extension of the attached file includes 'exe', the inspection item is defined as malicious code in the big data and reputation information. If the information is matched, it can be evaluated as '1' in the level values divided into 0 and 1. Through this, the inspection information of the malicious code indicator Level 1 can be obtained as '1'.
- the malicious code indicator Level 2 may match hash information of an attached mail file based on big data and reputation information. Through this, the evaluated level value can be acquired as inspection information of the malicious code indicator Level 2. For example, when the inspection information of the malicious code indicator Level 2 is analyzed as 'a1b2c3d4', the inspection item attachment hash information is the same as the information defined as malicious code in the reputation information, the level is divided into 0 and 1 It may evaluate to '1' in the value. Through this, the inspection information of the malicious code indicator Level 2 can be obtained as '1'.
- the malicious code indicator Level 3 can match URL (Uniform Resource Locator) information included in an attachment or mail content body based on URL reputation information.
- URL Uniform Resource Locator
- the evaluated level value can be acquired as inspection information of the malicious code indicator Level 3.
- the inspection information of the malicious code indicator Level 3 is information defined as a harmful site including a malicious code file in the URL reputation information when the URL information, which is an inspection item, is confirmed as 'www.malicious-code.com'. In the case of matching with 0, it can be evaluated as '1' in the level values divided into 0 and 1. Through this, the inspection information of the malicious code indicator Level 3 can be obtained as '1'.
- the malicious code inspection unit 132 may respond to a zero-day attack that may be omitted from the URL reputation information.
- the malicious code inspection unit 132 may change the link IP address for a URL without reputation information to an IP address of a specific system and provide the changed IP address to the user terminal 200 .
- the user terminal 200 may be connected to the IP address of a specific system changed by the malicious code inspection unit 132 .
- a specific system that has previously been changed to the link IP address for the URL can continuously check whether or not malicious code is included up to the endpoint of the URL.
- the inspection information acquired in units of the malicious code index level through the malicious code security process may be finally summed up ('3') and stored and managed as malicious code inspection information.
- the summed malicious code inspection information may be included in the mail security inspection information and managed, and may be utilized as security threat determination information in the mail processing unit 150 .
- the security threat inspection unit 130 may further include an impersonated mail inspection unit 133 .
- the impersonated mail inspection unit 133 may match the relation analysis information obtained through the relation analysis unit 140 with a preset relation analysis index step by step.
- the relationship analysis information may be obtained through mail information analysis including mail information and attribute information of mails confirmed as normal.
- the impersonated mail inspection unit 133 uses the received mail domain, the outgoing mail domain, the incoming mail address, the outgoing mail address, mail routing, mail content body information, etc. that can be extracted from the mail determined as normal, as relationship analysis index check items. can Through this, the impersonated mail inspection unit 133 may acquire, store, and manage the impersonated mail inspection information by matching the relationship analysis index according to the items step by step. Through this, the impersonated mail inspection unit 133 can detect similar domains and can filter mails that may pose a security threat by tracking or verifying the sending route of the mail.
- the level value through the inspection item and inspection based on the relation analysis information may be set step by step.
- the relationship analysis index may be subdivided and configured into Level 1, Level 2, Level 3, ..., Level [n].
- the relationship analysis index Level 1 may match the domain of the sender's mail, the address of the sender's mail, and the like, based on reputation information. Through this, the relationship analysis index Level 1 may acquire the evaluated level value as inspection information of the relationship analysis index Level 1. For example, the inspection information of the relational analysis indicator Level 1 is malicious in the reputation information when the domain of the sent mail, which is the inspection item, is '@impersonation.com' and the sender's mail address contains 'impersonation@'. If it matches the information defined by the code, it can be evaluated as '1' in the level values separated by 0 and 1.
- the relationship analysis indicator Level 2 may match the domain of the sender mail, the address of the sender mail, and the like, based on the relationship analysis information. Through this, the relationship analysis index Level 2 may acquire the evaluated level value as inspection information of the relationship analysis index Level 2 . For example, in the inspection information of the relationship analysis indicator Level 2, when the domain of the outgoing mail, which is an inspection item, is '@impersonation.com' and the sender's mail address includes 'impersonation@', in the relation analysis information If it does not match the information defined as the attribute information of normal mail, it can be evaluated as '1' at the level values divided into 0 and 1. Through this, the inspection information of the relationship analysis index Level 3 can be obtained as '1'.
- the relationship analysis indicator Level 3 may match mail routing information and the like based on the relationship analysis information.
- the relationship analysis index Level 3 can acquire the evaluated level value as inspection information of the relationship analysis index Level 3 .
- the inspection information of the relationship analysis indicator Level 3 when mail routing information, which is an inspection item, is checked as '1.1.1.1', '2.2.2.2', and '3.3.3.3', the routing information that is the transmission path of the mail
- the inspection information of the relationship analysis index Level 3 when the information defined as the attribute information of the normal mail does not match, it may be evaluated as '1' in the level values divided into 0 and 1. Through this, the inspection information of the relationship analysis index Level 3 can be obtained as '1'.
- the inspection information obtained by the relationship analysis index level unit through the impersonation mail security process may be finally summed ('3') and stored and managed as the impersonation mail inspection information.
- the summed up impersonation mail inspection information may be included in the mail security inspection information and managed, and may be utilized as security threat determination information in the mail processing unit 150 .
- the security threat inspection unit 130 may include a mail export inspection unit 134 to respond to the security threat of leaking internal information.
- the mail export inspection unit 134 may match the mail export management index set in advance based on the mail information step by step.
- the mail export inspection unit 134 may utilize the attribute information of the mail information to be used as a mail export management index inspection item.
- the management index check item the allocated IP information of the internally managed user terminal 200 may be used.
- the mail export management index preset inspection items and level values through inspection may be set for each step.
- the mail export management index may be subdivided and configured into Level 1, Level 2, Level 3, ..., Level [n].
- the mail export management index may include an item for controlling so that only IP addresses allowed from the IP addresses allocated to the user terminal 200 for sending environment inspection can register mail information. Unauthorized user terminals have a relatively high possibility of leaking internal information and a relatively high possibility of threatening security through e-mail, so it is possible to manage management indicators to block this in advance.
- the mail export inspection unit 134 may classify the mail export management index into inspection items such as IP address information and number of times information to be used as a mail export management index.
- the mail export inspection unit 134 may additionally include a control unit such as an approval process as a mail sending environment inspection item to reduce the threat of internal information leakage. Through this, the mail delivery inspection unit 134 may store and manage the level value calculated by matching the check item through the mail delivery process as mail delivery inspection information.
- the relationship analysis unit 140 may store and manage the relationship analysis information obtained based on the analysis of the mail information and the trust authentication log.
- the trust authentication log is a received mail domain, an outgoing mail domain, an incoming mail address, an outgoing mail address, mail routing, and mail content body when the record management unit 170 processes mail information as normal mail according to the security threat determination information. It may include record information including information and the like.
- the mail processing unit 150 may process the mail status according to the mail security check information and security threat determination information obtained through the mail information analysis.
- the mail processing unit 150 may perform the mail security process according to a preset priority. When the security threat determination information through the mail security process is determined to be an abnormal mail, the mail processing unit 150 may determine whether to stop the subsequent mail security process and process the mail status. Through this, when a problem is found in the first inspection step according to the priority, the mail processing unit 150 performs only the necessary processing in that step and determines whether the inspection is finished, so that the subsequent inspection step is not performed. Through this, it is possible to secure the efficiency of the mail security service, thereby lowering the complexity of the system and improving the processing efficiency.
- the mail security inspection information may utilize information obtained by synthesizing spam mail inspection information, malicious code inspection information, impersonation mail inspection information, and mail export inspection information calculated by the security threat inspection unit 130 .
- the security threat inspection unit 130 performs a process on the mail information
- the score calculated from the spam mail inspection information is '3'
- the score calculated from the malicious code inspection information is '2'
- the impersonated mail when the score calculated by the inspection information '1' and the mail export inspection information is '0', the score summed into the mail security inspection information may be obtained as '7'.
- the mail having the mail security check information of '7' may be determined as abnormal mail.
- the result value of each inspection information item included in the mail information inspection information may be given an absolute priority according to the item, or may be prioritized with information according to a weight.
- the mail processing unit 150 may include a mail distribution processing unit 151 that processes the mail determined as normal mail according to the security threat determination information into a receiving or sending state that the user terminal can handle.
- the mail processing unit 150 may further include a mail disposal processing unit 152 for processing the mail determined as abnormal mail according to the security threat determination information in a state in which the user terminal cannot access it.
- the mail processing unit 150 converts the gray mail into non-executable file contents for the mail determined as gray mail according to the security threat determination information, and provides the user terminal to selectively process the mail status It may further include a mail detoxification processing unit (153).
- the gray mail may be classified into spam mail or junk mail, and conversely, may be classified as normal mail.
- the gray mail can be defined as a mail type that is distinguished when the security threat determination information is calculated as an intermediate value within a certain range that cannot be determined as normal or abnormal.
- the mail detoxification processing unit 153 may convert the gray mail including the body of suspicious content into an image file and provide the mail in a state that the user terminal 200 can check.
- the mail detoxification processing unit 153 may remove or modify a section suspected of malicious code in the attached file and provide it to the user terminal 200 .
- the user terminal control unit 160 controls the transmission of the mail information when the IP address (Internet Protocol Address) information used by the user terminal 200 in the network corresponds to a preset unauthorized IP address. can do.
- IP address Internet Protocol Address
- the record management unit 170 may store and manage the mail information processed according to the security threat determination information as record information.
- the record management unit 170 When the record management unit 170 is processed as a normal mail according to the security threat determination information, the record including a receiving mail domain, an outgoing mail domain, a receiving mail address, an outgoing mail address, mail routing, mail content body information, etc.
- It may further include a relationship information management unit 171 that stores and manages the information as a trust authentication log.
- the trust authentication log can be utilized for reliable relationship information analysis with respect to the recipient and sender mail information.
- the reliability of the information included in the trust authentication log can be guaranteed as data is continuously accumulated through mutual information exchange.
- the records management unit 170 when the records management unit 170 is processed as an abnormal mail according to the security threat determination information, the received mail domain, the outgoing mail domain, the received mail address, the outgoing mail address, mail routing, mail content body information, etc. Record information can be used as an indicator for determining abnormal mail when performing the mail security process.
- Vulnerability test unit 180 converts the abnormal mail into non-executable file contents for mail determined as abnormal mail according to the security threat determination information so that it can be received or sent from the user terminal.
- the vulnerability test unit 180 may include a vulnerability information management unit 181 that acquires the identification information of the user terminal that has been received or sent with respect to the abnormal mail, stores and manages it as vulnerability information for each type.
- FIG. 4 is a flowchart illustrating a method of operating an apparatus for providing a mail security service according to an embodiment of the present invention.
- mail information transmitted and received between one or more user terminals 200 may be collected.
- the security threat check step S103 may process step-by-step matching of a mail security process corresponding to the mail information according to a preset security threat architecture. Thereafter, in the security threat checking step ( S103 ), the mail information may be checked by the matching-processed mail security process. Through this, the security threat inspection step (S103) may store and manage mail security inspection information according to the inspection result.
- different mail security processes corresponding to incoming mail or outgoing mail may be determined according to the security threat architecture.
- the inspection order or inspection level of the mail security process may be determined by a preset security level and architecture.
- the mail status may be processed according to the mail security check information and security threat determination information obtained through the mail information analysis.
- the mail security process according to a preset priority may be performed.
- the security threat determination information through the mail security process is determined to be an abnormal mail, it is possible to determine whether to stop the subsequent mail security process and process the mail status.
- the mail processing step (S105) if a problem is found in the first inspection step according to the priority, only the necessary processing is performed in that step, and it is determined whether the inspection is finished, and the subsequent inspection step is not performed. Through this, it is possible to secure the efficiency of the mail security service, thereby lowering the complexity of the system and improving the processing efficiency.
- the mail information processed according to the security threat determination information may be stored and managed as record information.
- the record management step (S107) when normal mail is processed according to the security threat determination information, the received mail domain, the outgoing mail domain, the received mail address, the outgoing mail address, mail routing information, the mail content body, etc. are included. It may further include a relationship information management step of storing and managing the record information as a trust authentication log.
- the relation analysis step may store and manage relation analysis information obtained based on the analysis of the mail information and the trust authentication log.
- the security threat inspection step (S103) when the mail security process is a spam mail security process, the e-mail information including one or more of e-mail header information, e-mail subject, e-mail content body, and the number of times received for a certain period is set in advance. It may further include a spam check step matching the indicator and step-by-step. Additionally, in the security threat checking step (S103), if the mail security process is a malicious code security process, one of the attachment file extension, attachment file hash information, attachment file name, attachment file content body, and URL (Uniform Resource Locator) information The method may further include a malicious code checking step of matching the mail information including the above with a preset malicious code index step by step.
- the security threat checking step ( S103 ) may further include an impersonated mail checking step of matching step-by-step with a relationship analysis index preset with respect to the relationship analysis information when the mail security process is an impersonated mail security process.
- the security threat checking step (S103) may further include, when the mail security process is a mail export security process, matching the mail export management index set in advance based on the mail information step-by-step. .
- the mail processing step (S105) may further include a mail distribution processing step of processing the mail determined as normal mail according to the security threat determination information to a reception or transmission state that the user terminal can handle.
- the mail processing step (S105) may further include a mail disposal processing step of processing the mail determined as abnormal mail according to the security threat determination information in a state in which the user terminal cannot access it.
- the gray mail is converted into non-executable file contents for the mail determined as gray mail according to the security threat determination information, and the user terminal can selectively process the mail status. It may further include a mail detoxification processing step to provide.
- Vulnerability testing step converts the abnormal mail into non-executable file contents for mail determined as abnormal mail according to the security threat determination information so that it can be received or sent from the user terminal.
- the vulnerability testing step may further include a vulnerability information management step of acquiring identification information of the user terminal that has been received or transmitted with respect to the abnormal mail, and storing and managing it as vulnerability information for each type.
- FIG. 5 is an exemplary diagram for explaining a checking method according to an architecture of a mail security service according to an embodiment of the present invention.
- the architecture of the mail security service is divided into top categories such as incoming mail, outgoing mail, internal mail, and user education, and hierarchical and stepwise configuration and processing methods can be applied as a substructure for each category.
- the uppermost category may be classified according to the classification of the accessing system according to the attribute value included in the mail information or the purpose of using the mail of the user terminal 200 .
- each security threat type one or more specific mail security processes can be assigned, which can be divided into levels and executed in stages and sequentially.
- security threat types can be classified into security threat types such as SPAM, Malicious code (Attachment), Malicious code (URL), and Social Engineering Attack. Accordingly, the security threat type inspection process may be sequentially implemented.
- security threat type inspection process may be sequentially implemented.
- levels 1, 2, 3, ... [n] within each of the above security threat types. At this time, each level is assigned a specific item to be inspected and an indicator, so that an inspection result can be obtained.
- the mail security process within each security threat type can also be performed in parallel with the assigned scan area.
- the received mail which is one of the top categories, may be classified into a security threat type as a lower layer.
- the security threat types may be classified into SPAM processing, malicious code processing, social engineering processing, and the like.
- Level 1 (Lv.1) in the SPAM processing section can check whether or not spam emails are based on reputation for security threat inspection of incoming emails. After that, if there are no problems found in the reputation-based spam inspection, level 2 (Lv.
- level 3 (Lv.3)
- the mail security service architecture performs level-by-level verification through a specific spam filtering process within the SPAM processing type, and when the verification is completed, it enables transition to the next level.
- the mail security service architecture may proceed to the malicious code processing step of determining whether or not malicious code is included in the mail after completing the spam check of the mail through SPAM processing.
- the malicious code processing can determine whether level 1 reputation-based malicious code is included, and when normalization is confirmed, the next step can be performed.
- the malicious code processing step can be terminated through detoxification processing that transforms the executable code included in the attached file.
- the inspection step may be transferred to a social engineering processing inspection step.
- the social engineering processing inspection step executes the social engineering attack mail inspection process based on level 1 (Lv.1) metadata and level n (Lv.n) relationship analysis, and then processes the response according to the inspection result information Or you can request it.
- the outgoing mail which is one of the top categories, may be classified into a security threat type as a lower layer.
- the category of outgoing mail is also divided into SPAM processing, malicious code processing, and social engineering processing steps like the security threat type of incoming mail, and inspection can be performed.
- the security threat inspection of outgoing mail may include a sending environment inspection step.
- a sending environment inspection step when one or more user terminals 200 access the system for the purpose of sending mail, a level 1 (Lv. can be done When the user terminal 200 authenticated through the level 1 step verification meets within a predetermined reference number with respect to the number of mail transmissions, it may be determined as a normal mail and proceed to the next step.
- the level n (Lv.n) step a process of determining whether or not there is an abnormality by pre-examining the contents of the outgoing mail may be executed to verify whether the mail is normal.
- the internal mail which is one of the top categories, may be subjected to an internal mail management step capable of preventing internal information leakage to a lower layer.
- the internal mail management step may check for abnormal mail through the level 1 (Lv.1) approval process.
- the approval process may determine the risk of information leakage with respect to the mail including internal information.
- the approval process may be performed in such a way that the mail contents sequentially approved by the mail management system and sent to the outside are pre-censored. Thereafter, the DLP (Data Loss Prevention) and DRM (Digital Rights Management) control process is performed as a level 2 (Lv.2) step to check whether internal information is leaked.
- the DLP control process can detect and control an action that attempts to transmit information by accessing a system that violates the policy without permission such as approval.
- the DRM control process can detect and control an attempt to attach an encrypted internal document to an e-mail or a decrypted file without permission such as approval.
- a multi-step authentication process such as step 1 or step 2 may be provided as an authentication processing step of the user terminal 200 .
- step 1 or step 2 may be provided as an authentication processing step of the user terminal 200 .
- the user education which is one of the top categories, may include a stage of mock phishing and a feedback system as a lower layer.
- the mock phishing step it is possible to store and manage information such as the identification value and number of times of the user terminal 200 having a history of using a mail containing a security threat.
- the security threat mail configured in a way that is harmless to an actual system or content may be used.
- the feedback system can provide statistical values calculated through simulated phishing or the results of analyzing the threat level.
- the security threat check configured for each category may be determined by architecture and security level. Accordingly, an inspection order and an inspection level may be determined, and an abnormality may be checked according to the sequential inspection.
- the priority of the inspection order and inspection level may be set according to the architecture and security level. In the process performed according to the priority, when a problem is found according to the obtained inspection result, necessary processing may be performed at that stage and it may be determined whether the inspection is terminated.
- the above problem can be solved by processing such as discarding or returning the mail so that it cannot be checked in the user terminal 200 when it is determined as spam mail or mail containing malicious code. In this way, when mail problems are handled through the inspection process at a specific stage, the subsequent inspection stage or the remaining inspection stages in parallel processing may be terminated without being performed.
- the method according to the present invention described above may be produced as a program to be executed by a computer and stored in a computer-readable recording medium.
- the computer-readable recording medium include ROM, RAM, CD-ROM, magnetic tape. , a floppy disk, an optical data storage device, and the like, and also includes those implemented in the form of a carrier wave (eg, transmission through the Internet).
- the computer-readable recording medium is distributed in a network-connected computer system, so that the computer-readable code can be stored and executed in a distributed manner.
- functional programs, codes, and code segments for implementing the method can be easily inferred by programmers in the art to which the present invention pertains.
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Business, Economics & Management (AREA)
- Virology (AREA)
- Human Resources & Organizations (AREA)
- Marketing (AREA)
- Primary Health Care (AREA)
- Strategic Management (AREA)
- Tourism & Hospitality (AREA)
- General Business, Economics & Management (AREA)
- Economics (AREA)
- Information Transfer Between Computers (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
A method for operation of an apparatus for providing an e-mail security service according to an embodiment of the present invention comprises: a collection step of collecting mail information being transmitted and received between one or more user terminals; a security threat inspection step of processing step-by-step matching of a mail security process corresponding to the mail information, according to a preset security threat architecture, inspecting the mail information by the matching-processed mail security process, and storing and managing mail security inspection information according to the result of the inspection; a mail processing step of processing a mail status according to security threat determination information being acquired via analysis of the mail security inspection information and the mail information; and a record management step of storing and managing, as record information, the mail information which has been processed according to the security threat determination information.
Description
본 발명은 이메일 보안 서비스 제공 장치 및 그 동작 방법에 관한 것으로, 보다 상세하게는 이메일을 통한 악성 코드 감염, 사회공학적 해킹 등의 사이버 위협을 탐지하고 차단할 수 있는 보안 레벨 기반의 계층적 아키텍처를 이용한 이메일 보안 서비스 제공 장치 및 그 동작 방법에 관한 것이다.The present invention relates to an apparatus for providing an email security service and an operating method thereof, and more particularly, to an email using a security level-based hierarchical architecture capable of detecting and blocking cyber threats such as malicious code infection and social engineering hacking through email It relates to a security service providing apparatus and an operating method thereof.
오늘날의 사회는 전세계적으로 컴퓨터와 정보통신기술의 발전으로 사회 생활의 전 분야에 걸쳐 사이버 의존도가 높아지고 있고 이는 더욱 더 가속화되는 추세에 있다. 근래에는 초고속, 초저지연, 초연결성을 지닌 5G 이동통신이 상용화되고 이를 기반으로 한 새로운 서비스가 등장하면서 사이버보안은 더욱 중요해지고 있다.In today's society worldwide, with the development of computers and information and communication technologies, the dependence on cyber is increasing in all areas of social life, and this is a trend that is accelerating. In recent years, 5G mobile communication with high-speed, ultra-low latency, and hyper-connectivity has been commercialized and new services based on it have emerged, making cybersecurity more important.
사물인터넷(IoT), 클라우드 시스템, 빅데이터, 인공지능(AI) 등의 기술분야는 정보통신기술과 결합하여 새로운 서비스 환경을 제공하고 있다. 이같은 서비스를 제공하는 시스템은 인터넷망 무선망 등을 통하여 PC 또는 휴대용 단말장치 등과 연결되어 실생활에서 이용될 수 있다.Technology fields such as the Internet of Things (IoT), cloud systems, big data, and artificial intelligence (AI) are providing a new service environment in combination with information and communication technology. A system providing such a service can be used in real life by being connected to a PC or a portable terminal device through a wireless Internet network or the like.
이와 같이 다양한 단말장치 또는 통신기기와 연결되는 정보통신기술이 실생활과 더욱 밀접해지면서, 이를 이용하여 악의적인 의도를 가진 사이버 보안 위협이 나날이 증가하고 있다. 정교화되고 고도화된 사이버 보안 위협은 단체나 기관, 개인의 정보통신 단말장치의 이상 실행을 발생기키거나 관리정보의 위변조를 통한 사람의 실수를 유도하여 정보를 탈취하고 훼손하는 등의 피해를 입힐 수 있다. 또한 사이버 보안 위협을 통해 불법적으로 탈취된 정보는 금전 사기 범죄나 다른 경제적, 사회적 범죄를 저지르는데 이용될 수 있다.As such information and communication technologies connected to various terminal devices or communication devices become closer to real life, cyber security threats with malicious intent are increasing day by day by using them. Sophisticated and sophisticated cyber security threats can cause damage such as stealing and damaging information by causing abnormal execution of information and communication terminal devices of organizations, institutions, or individuals, or by inducing human error through forgery and forgery of management information. . In addition, information obtained illegally through cybersecurity threats can be used to commit money fraud and other economic and social crimes.
사이버 보안 위협을 차단하고 대응하기 위하여 시스템화된 정보통신기술을 보호하고 관리되는 정보보호시스템이 활용될 수 있다. 정보보호시스템은 다양한 사이버 위협에 대응될 수 있도록 정보통신기술의 시스템 유형 또는 기술 특징에 따라 구축될 수 있고 단계별로 적용될 수 있다.In order to block and respond to cyber security threats, an information protection system that protects and manages systemized information and communication technologies can be utilized. The information protection system can be built according to the system type or technical characteristics of information and communication technology to respond to various cyber threats and can be applied in stages.
정보통신기술에서 활용되고 있는 이메일 시스템은 컴퓨터 단말을 통해 이용자 간 통신 회선을 이용하여 메시지를 주고 받을 수 있도록 내용 본문을 포함하는 전자우편물 서비스를 제공할 수 있다. 이 때, 이메일은 공유하고자 하는 내용을 포함하는 전자파일을 첨부할 수 있고 또는 웹사이트 연결 링크(URL; Uniform Resource Locator)를 본문에 기재하거나 첨부파일 내에 삽입할 수 있다.The e-mail system used in information and communication technology can provide an e-mail service including a body of content so that a message can be exchanged between users using a communication line between users through a computer terminal. In this case, an electronic file including content to be shared may be attached to the e-mail, or a website connection link (URL; Uniform Resource Locator) may be written in the body or inserted in the attached file.
이같이 이메일 시스템을 통해서 악의적인 의도를 가지고 악성 코드를 포함하는 실행 가능한 전자파일이 첨부되거나 특정 웹 사이트로 연결될 수 있는 URL이 삽입될 수 있다. 이를 통해, 이메일 수신자로 하여금 악성 코드를 실행시키거나 삽입된 URL을 통해 위변조된 웹사이트에 접속함으로써 사용자가 의도하지 않는 정보 처리가 수행되고 정보를 탈취당할 수 있다. As such, an executable electronic file containing malicious code may be attached with malicious intent through the e-mail system, or a URL that may link to a specific website may be inserted. Through this, by allowing the e-mail recipient to execute malicious code or access the forged website through the inserted URL, information processing not intended by the user may be performed and information may be stolen.
이같이 경제적, 사회적 피해를 유발할 수 있고 다양한 범죄와 연결될 수 있는 이메일 보안 위협에 대응하기 위하여 대한민국 등록특허 제10-1595379호와 같이 '악성코드가 첨부된 전자메일의 통제 및 차단 시스템'이 개시되어 있다. 상기 등록특허에는 외부의 서버 또는 단말기로부터 발송된 전자메일이 방화벽과, 스팸차단 소프트웨어가 내장되어 있는 스팸차단장치를 경유하여 전송되어 오면 대상시스템에서 전자메일을 수신하는 기능과, 상기 전자메일을 대상시스템에서 첨부파일이 있는지 여부를 확인하는데, 첨부파일이 없으면 대상시스템에서 메일서버로 상기 전자메일을 전송하고, 첨부파일이 있으면 사용자 업무 목적에 가장 많이 사용하는 첨부파일의 Type(문서, 압축, 이미지) 이외에는 상기 전자메일을 차단하여 악성코드 감염을 사전 방지하는 기능과, 첨부 파일 Type이 이미지인 경우에는 이미지는 변환이 불가능하므로 악성코드 감염이 불가하여 대상시스템에서 메일서버로 상기 전자메일을 전송하고, 첨부 파일 Type이 문서인 경우에는 수정이 불가능한 형태의 PDF로 문서를 변환하여 문서내부에 악성코드가 반영된 URL등을 메일 수신자가 클릭하여 사용자 단말기에 악성코드 감염되는 경우를 사전에 차단하는 방식으로 대상시스템에서 사용자단말기로 전자메일, 메신저, 모바일, 카카오톡 중에서 단수 또는 복수개로 선택하여 알림메일을 전송하는 기능과, 첨부 파일 Type이 압축 파일인 경우에는 먼저 압축을 해제하여 파일의 Type 분석하고 이미지인 경우에는 상기 방식으로 처리하고, 문서인 경우에는 PDF로 변환하여 상기 방식으로 처리하고, 실행파일인 경우에는 여러 종류의 악성코드 치료 솔루션이 탑재된 Virtual BOX에서 악성코드 감염 검사 및 치료를 실시하고 결과를 포함하는 알림메일을 전자메일, 메신저, 모바일, 카카오톡 중에서 단수 또는 복수개로 선택하여 대상시스템에서 메일서버로 알림처리를 전송하는 기능과, 대상시스템에서 실행 파일 이외에 악성코드 검사가 필요한 첨부 파일을 Virtual BOX로 전달하여 악성코드 검사 및 치료를 처리하고 그 결과를 다시 대상시스템에 전달하여 처리하는 기능을 갖는 대상시스템과; 상기 대상시스템으로부터 실행파일을 수신하는 Virtual BOX는 별도의 시스템으로 가상화 환경을 구성하고 여러종류의 악성코드 치료 솔루션을 탑재하여 실행파일 속에 숨겨진 악성코드 검사 및 치료를 처리하고 그 결과를 다시 대상시스템에 전달하여 주고, 검사 이전의 환경으로 원상복구 처리하는 Virtual BOX와; 상기 대상시스템으로부터 전자메일(알림 메일 포함)을 수신하고 사용자 단말기로 전자메일(알림 메일 포함)을 전달하는 기능을 갖는 메일서버와; 상기 대상시스템으로부터 알림 메일을 수신시 사용자가 알림 메일 확인을 통해서 원본 전자메일의 허용 또는 거부를 선택하는 기능과, 상기 수신된 전자메일을 로그인한 다음 확인하는 기능을 갖는 사용자단말기;를 포함하는 악성코드가 첨부된 전자메일의 통제 및 차단 시스템에 대하여 기술되어 있다.In order to respond to email security threats that can cause economic and social damage and can be linked to various crimes, as in Korean Patent Registration No. 10-1595379, 'a system for controlling and blocking e-mails with malicious codes' is disclosed. . The registered patent includes a function of receiving an e-mail from a target system when an e-mail sent from an external server or terminal is transmitted via a firewall and a spam blocking device having a built-in anti-spam software; The system checks whether there is an attachment. If there is no attachment, the e-mail is sent from the target system to the mail server. ), the function to prevent malicious code infection by blocking the e-mail in advance, and if the attachment file type is an image, the image cannot be converted, so malicious code infection is impossible, so the e-mail is transmitted from the target system to the mail server. , If the attachment type is a document, the document is converted to a PDF format that cannot be modified and the email recipient clicks on the URL that reflects the malicious code inside the document to prevent malicious code infection in the user's terminal in advance. The function of sending a notification mail by selecting a single or plural number among e-mail, messenger, mobile, and KakaoTalk from the target system to the user's terminal. In the case of , it is processed in the above manner, in the case of a document, it is converted to PDF and processed in the above manner. The function to send notification processing from the target system to the mail server by selecting single or multiple notification emails from among e-mail, messenger, mobile, and KakaoTalk, including the results, and attachments that require malware inspection in addition to executable files in the target system a target system having a function to process malicious code inspection and treatment by transferring the . Virtual BOX, which receives the executable file from the target system, constitutes a virtual environment as a separate system, and is equipped with various types of malware treatment solutions to process malicious code inspection and treatment hidden in the executable file, and send the result back to the target system a Virtual BOX that delivers and restores to the environment before the test; a mail server having a function of receiving an e-mail (including a notification mail) from the target system and delivering an e-mail (including a notification mail) to a user terminal; Malicious comprising; a user terminal having a function for a user to select whether to accept or reject an original e-mail through confirmation of a notification e-mail when receiving a notification e-mail from the target system, and a function to log in and check the received e-mail; It describes a system for controlling and blocking e-mails with attached codes.
그러나 이 같은 악성코드가 첨부된 전자메일의 통제 및 차단 시스템은 이메일의 수신측면에서의 대응 시스템으로 국한되어 있고 이외, 이메일의 발신측면과 함께 이메일의 관리시스템 내부측면, 사용자 단말장치 단에서의 이메일 처리측면에 대한 사이버 보안 위협의 대응에는 한계가 있다.However, the system for controlling and blocking e-mails with such malicious code is limited to the response system at the receiving side of the e-mail. There is a limit to the countermeasures against cyber security threats on the processing side.
또한 이메일에 첨부된 첨부파일에 심어진 악성코드 및 위변조 URL에 대한 PDF 변환과 가상환경을 이용한 실행파일과 첨부 파일의 검사와 치료에 국한되어 있기 때문에 유사도메인으로 위장된 메일과 사회공학적 공격을 가할 수 있는 관계분석 등과 같은 위협 진단과 대응에는 한계가 발생될 수 있다.In addition, since it is limited to PDF conversion for malicious code and forged URLs planted in attachments attached to e-mails, and inspection and treatment of executable files and attachments using a virtual environment, it is possible to apply e-mails disguised as similar domains and social engineering attacks. There may be limitations in threat diagnosis and response, such as relationship analysis.
본 발명은 상기한 종래의 문제점을 해결하기 위한 것으로, 이메일 시스템에서 처리되는 수신메일, 발신메일, 시스템 내 메일처리, 사용자 단말장치 등과 같은 측면에서 고려될 수 있는 스팸, 해킹, 사기 등의 사이버 보안 위협에 대하여 보안 레벨 기반의 계층적 아키텍처를 이용하여 단계적인 사이버 보안 위협 대응과 이메일 시스템의 통제 관리가 가능한 이메일 보안 서비스 제공 장치 및 그 동작 방법을 제공하는데 그 목적이 있다.The present invention is to solve the above conventional problems, and cyber security such as spam, hacking, fraud, etc. that can be considered in terms of incoming mail, outgoing mail, in-system mail processing, user terminal device, etc. processed in an email system An object of the present invention is to provide a device for providing an email security service capable of responding to cyber security threats in stages and controlling and managing the email system using a security level-based hierarchical architecture against threats and an operation method thereof.
상기 과제를 해결하기 위한 본 발명의 실시 예에 따른 방법은, 이메일 보안 서비스 제공 장치의 동작 방법에 있어서, 하나 이상의 사용자단말 간 송수신되는 메일정보를 수집하는 수집단계; 사전 설정된 보안위협 아키텍처에 따라, 상기 메일정보에 대응하는 메일보안 프로세스의 단계별 매칭을 처리하고, 상기 매칭 처리된 메일보안 프로세스에 의해 상기 메일정보를 검사하며, 상기 검사결과에 따른 메일보안 검사정보를 저장 및 관리하는 보안위협 검사단계; 상기 메일보안 검사정보 및 상기 메일정보 분석을 통해 획득되는 보안위협 판별정보에 따라 메일 상태를 처리하는 메일 처리단계; 및 상기 보안위협 판별정보에 따라 처리된 상기 메일정보를 레코드정보로 저장하고 관리하는 레코드 관리단계;를 포함한다.According to an embodiment of the present invention, there is provided a method for operating an apparatus for providing an email security service, comprising: a collecting step of collecting mail information transmitted and received between one or more user terminals; According to a preset security threat architecture, matching step-by-step of the mail security process corresponding to the mail information is processed, the mail information is checked by the matching-processed mail security process, and mail security inspection information according to the inspection result is obtained. a security threat inspection step of storing and managing; a mail processing step of processing the mail status according to the mail security check information and security threat determination information obtained through the mail information analysis; and a record management step of storing and managing the mail information processed according to the security threat determination information as record information.
또한, 상기와 같은 과제를 해결하기 위한 본 발명의 실시 예에 따른 장치는, 하나 이상의 사용자단말 간 송수신되는 메일정보를 수집하는 수집부; 사전 설정된 보안위협 아키텍처에 따라, 상기 메일정보에 대응하는 메일보안 프로세스의 단계별 매칭을 처리하고, 상기 매칭 처리된 메일보안 프로세스에 의해 상기 메일정보를 검사하며, 상기 검사결과에 따른 메일보안 검사정보를 저장 및 관리하는 보안위협 검사부; 상기 메일보안 검사정보 및 상기 메일정보 분석을 통해 획득되는 보안위협 판별정보에 따라 메일 상태를 처리하는 메일 처리부; 및 상기 보안위협 판별정보에 따라 처리된 상기 메일정보를 레코드정보로 저장하고 관리하는 레코드 관리부;를 포함하는 이메일 보안 서비스 제공 장치이다.In addition, an apparatus according to an embodiment of the present invention for solving the above problems, a collection unit for collecting mail information transmitted and received between one or more user terminals; According to a preset security threat architecture, matching step-by-step of the mail security process corresponding to the mail information is processed, the mail information is checked by the matching-processed mail security process, and mail security inspection information according to the inspection result is obtained. a security threat inspection unit that stores and manages; a mail processing unit for processing a mail status according to the mail security check information and security threat determination information obtained through analysis of the mail information; and a record management unit for storing and managing the mail information processed according to the security threat determination information as record information.
한편, 상기와 같은 과제를 해결하기 위한 본 발명의 실시 예에 따른 방법은 상기 방법을 실행시키기 위한 프로그램 또는 상기 프로그램이 기록되어 컴퓨터가 읽을 수 있는 기록 매체로 구현될 수 있다.On the other hand, the method according to an embodiment of the present invention for solving the above problems may be implemented as a program for executing the method or a computer-readable recording medium in which the program is recorded.
본 발명의 실시 예에 따르면, 이메일을 수신측면에서 스팸메일, 악성코드가 포함된 첨부파일, 위변조된 URLs, 유사도메인, 사기성 내용으로 위협을 구분하여 분석하고 단계적인 위협 대응 처리를 가능하게 함으로써, 악의적인 목적으로 보내진 메일을 수신자가 열어보기 전 차단하거나 시스템에 무해한 메일로 변환할 수 있다. 또한 이메일을 발신측면에서 사이버 보안 위협을 감지하고 차단하며, 이메일 관리 시스템 내부측면에서는 정보 유출이 의심되거나 관리되는 시스템 접근 IP 주소 정보의 불일치 등의 잠재 위협을 사전에 감지하여 악의적인 목적으로 이용되지 못하도록 피해를 미연에 방지할 수 있다. 이같이 이메일 시스템을 통해 이루어질 수 있는 해킹, 사기, 스팸 등과 같은 비정상적인 처리를 통제하고 피해를 방지함으로써 사용자간 안전한 정보 교환과 처리를 보장하는 이메일 서비스를 제공할 수 있다.According to an embodiment of the present invention, by classifying and analyzing threats into spam emails, attachments containing malicious code, forged URLs, similar domains, and fraudulent contents on the receiving side of the email, and enabling step-by-step threat response processing, Mails sent for malicious purposes can be blocked before the recipient can open them, or they can be converted into harmless mails to the system. In addition, it detects and blocks cybersecurity threats from the sending side of the email, and the internal side of the email management system detects potential threats such as suspected information leakage or inconsistency of IP address information for access to the managed system in advance to prevent it from being used for malicious purposes. Damage can be prevented in advance. In this way, it is possible to provide an e-mail service that guarantees safe information exchange and processing between users by controlling abnormal processing such as hacking, fraud, and spam that can be made through the e-mail system and preventing damage.
도 1은 본 발명의 일 실시 예에 따른 전체 시스템을 도시한 개념도이다.1 is a conceptual diagram illustrating an entire system according to an embodiment of the present invention.
도 2는 본 발명의 일 실시 예에 따른 메일 보안 서비스 제공 장치를 설명하기 위한 블록도이다.2 is a block diagram illustrating an apparatus for providing a mail security service according to an embodiment of the present invention.
도 3은 본 발명의 일 실시 예에 따른 메일 보안 서비스 제공 장치의 일부 구성을 보다 구체적으로 설명하기 위한 블록도이다.3 is a block diagram for explaining in more detail some configurations of an apparatus for providing a mail security service according to an embodiment of the present invention.
도 4는 본 발명의 일 실시 예에 따른 메일 보안 서비스 제공 장치의 동작 방법을 설명하기 위한 흐름도이다.4 is a flowchart illustrating a method of operating an apparatus for providing a mail security service according to an embodiment of the present invention.
도 5는 본 발명의 일 실시 예에 따른 메일 보안 서비스의 아키텍처에 따른 검사 방식을 설명하기 위한 예시도이다.5 is an exemplary diagram for explaining a checking method according to an architecture of a mail security service according to an embodiment of the present invention.
이하의 내용은 단지 본 발명의 원리를 예시한다. 그러므로 당업자는 비록 본 명세서에 명확히 설명되거나 도시되지 않았지만 본 발명의 원리를 구현하고 본 발명의 개념과 범위에 포함된 다양한 장치와 방법을 발명할 수 있는 것이다. 또한, 본 명세서에 열거된 모든 조건부 용어 및 실시 예들은 원칙적으로, 본 발명의 개념이 이해되도록 하기 위한 목적으로만 명백히 의도되고, 이와 같이 특별히 열거된 실시 예들 및 상태들에 제한적이지 않는 것으로 이해되어야 한다.The following is merely illustrative of the principles of the invention. Therefore, those skilled in the art will be able to devise various devices and methods that, although not explicitly described or shown herein, embody the principles of the present invention and are included within the spirit and scope of the present invention. In addition, all conditional terms and examples listed herein are, in principle, expressly intended only for the purpose of understanding the concept of the present invention, and it should be understood that they are not limited to the specifically enumerated embodiments and states as such. do.
또한, 본 발명의 원리, 관점 및 실시 예들 뿐만 아니라 특정 실시 예를 열거하는 모든 상세한 설명은 이러한 사항의 구조적 및 기능적 균등물을 포함하도록 의도되는 것으로 이해되어야 한다. 또한 이러한 균등물들은 현재 공지된 균등물뿐만 아니라 장래에 개발될 균등물 즉 구조와 무관하게 동일한 기능을 수행하도록 발명된 모든 소자를 포함하는 것으로 이해되어야 한다.Moreover, it is to be understood that all detailed description reciting specific embodiments, as well as principles, aspects, and embodiments of the invention, are intended to include structural and functional equivalents of such matters. It should also be understood that such equivalents include not only currently known equivalents, but also equivalents developed in the future, i.e., all devices invented to perform the same function, regardless of structure.
따라서, 예를 들어, 본 명세서의 블록도는 본 발명의 원리를 구체화하는 예시적인 회로의 개념적인 관점을 나타내는 것으로 이해되어야 한다. 이와 유사하게, 모든 흐름도, 상태 변환도, 의사 코드 등은 컴퓨터가 판독 가능한 매체에 실질적으로 나타낼 수 있고 컴퓨터 또는 프로세서가 명백히 도시되었는지 여부를 불문하고 컴퓨터 또는 프로세서에 의해 수행되는 다양한 프로세스를 나타내는 것으로 이해되어야 한다.Thus, for example, the block diagrams herein are to be understood as representing conceptual views of illustrative circuitry embodying the principles of the invention. Similarly, all flowcharts, state transition diagrams, pseudo code, etc. may be tangibly embodied on computer-readable media and be understood to represent various processes performed by a computer or processor, whether or not a computer or processor is explicitly shown. should be
또한 프로세서, 제어 또는 이와 유사한 개념으로 제시되는 용어의 명확한 사용은 소프트웨어를 실행할 능력을 가진 하드웨어를 배타적으로 인용하여 해석되어서는 아니 되고, 제한 없이 디지털 신호 프로세서(DSP) 하드웨어, 소프트웨어를 저장하기 위한 롬(ROM), 램(RAM) 및 비휘발성 메모리를 암시적으로 포함하는 것으로 이해되어야 한다. 주지관용의 다른 하드웨어도 포함될 수 있다.In addition, the clear use of terms presented as processor, control or similar concepts should not be construed as exclusively referring to hardware having the ability to execute software, and without limitation, digital signal processor (DSP) hardware, ROM for storing software. It should be understood to implicitly include (ROM), RAM (RAM) and non-volatile memory. Other common hardware may also be included.
상술한 목적, 특징 및 장점은 첨부된 도면과 관련한 다음의 상세한 설명을 통하여 보다 분명해질 것이며, 그에 따라 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 본 발명의 기술적 사상을 용이하게 실시할 수 있을 것이다. 또한, 본 발명을 실시함에 있어서 본 발명과 관련된 공지 기술에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에 그 상세한 설명을 생략하기로 한다.The above objects, features and advantages will become more apparent through the following detailed description in relation to the accompanying drawings, and accordingly, those of ordinary skill in the art to which the present invention pertains can easily implement the technical idea of the present invention. There will be. In addition, when it is determined that the detailed description of the known technology related to the present invention may unnecessarily obscure the gist of the present invention in carrying out the present invention, the detailed description thereof will be omitted.
본 출원에서 사용한 용어는 단지 특정한 실시 예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.The terms used in the present application are only used to describe specific embodiments, and are not intended to limit the present invention. The singular expression includes the plural expression unless the context clearly dictates otherwise. In the present application, terms such as “comprise” or “have” are intended to designate that a feature, number, step, operation, component, part, or combination thereof described in the specification exists, but one or more other features It should be understood that this does not preclude the existence or addition of numbers, steps, operations, components, parts, or combinations thereof.
이하, 첨부한 도면들을 참조하여, 본 발명의 바람직한 실시 예를 보다 상세하게 설명하고자 한다. 본 발명을 설명함에 있어 전체적인 이해를 용이하게 하기 위하여 도면상의 동일한 구성요소에 대해서는 동일한 참조부호를 사용하고 동일한 구성요소에 대해서 중복된 설명은 생략한다.Hereinafter, preferred embodiments of the present invention will be described in more detail with reference to the accompanying drawings. In describing the present invention, in order to facilitate the overall understanding, the same reference numerals are used for the same components in the drawings, and duplicate descriptions of the same components are omitted.
본 명세서에서 사용되는 '메일(mail)'은 사용자가 단말장치와 이에 설치되는 클라이언트 프로그램 또는 웹사이트를 통해 컴퓨터 통신망을 이용하여 주고 받는 이메일(Electronic mail), 웹메일(Web mail), 전자우편, 전자우편물 등의 용어를 통칭하여 사용할 수 있다. 'Mail' as used herein means e-mail, web mail, e-mail, and Terms such as e-mail can be collectively used.
도 1은 본 발명의 일 실시 예에 따른 전체 시스템을 도시한 개념도이다.1 is a conceptual diagram illustrating an entire system according to an embodiment of the present invention.
도 1을 참조하면, 본 발명의 일 실시 예에 따른 시스템은 서비스 제공 장치(100), 사용자단말(200), 메일서버(300)를 포함한다.Referring to FIG. 1 , a system according to an embodiment of the present invention includes a service providing apparatus 100 , a user terminal 200 , and a mail server 300 .
보다 구체적으로, 서비스 제공 장치(100), 사용자단말(200), 메일서버(300)는 공중망(Public network)과의 연결을 통해 유선 및 무선 중 하나 이상으로 연결되어 데이터를 송수신할 수 있다. 상기 공중망은 국가 혹은 통신 기간 사업자가 구축 및 관리하는 통신망으로, 일반적으로 전화망, 데이터망, CATV망 및 이동 통신망 등을 포함하여 불특정 다수의 일반인이 타 통신망이나 인터넷에 접속 가능하도록 연결 서비스를 제공한다. 본 발명에서는 상기 공중망을 네트워크로 대체하여 표기한다.More specifically, the service providing apparatus 100 , the user terminal 200 , and the mail server 300 may be connected to one or more of wired and wireless via a connection to a public network to transmit/receive data. The public network is a communication network built and managed by the country or a telecommunication key business operator. In general, a connection service is provided so that an unspecified number of ordinary people, including a telephone network, a data network, a CATV network, and a mobile communication network, can access other communication networks or the Internet. . In the present invention, the public network is represented by replacing the network.
또한, 상기 서비스 제공 장치(100), 사용자단말(200), 메일서버(300)는 각 통신망에 상응하는 프로토콜로 통신하기 위한 각각의 통신 모듈을 포함할 수 있다.In addition, the service providing apparatus 100 , the user terminal 200 , and the mail server 300 may include respective communication modules for communicating with a protocol corresponding to each communication network.
상기 서비스 제공 장치(100)는 메일 보안 서비스 제공을 위해, 각 사용자단말(200) 및 메일서버(300)와 유/무선 네트워크를 통해 연결될 수 있으며, 각 네트워크에 연결된 장치 또는 단말들은 사전 설정된 네트워크 채널을 통해 상호간 통신을 수행할 수 있다.The service providing device 100 may be connected to each user terminal 200 and the mail server 300 through a wired/wireless network in order to provide a mail security service, and the device or terminals connected to each network have a preset network channel. can communicate with each other.
여기서 상기 각 네트워크는 근거리 통신망(Local Area Network; LAN), 광역 통신망(Wide Area Network; WAN), 부가가치 통신망(Value Added Network; VAN), 개인 근거리 무선통신(Personal Area Network; PAN), 이동 통신망(Mobile radio communication network) 또는 위성 통신망 등과 같은 모든 종류의 유/무선 네트워크로 구현될 수 있다.Here, each of the networks is a local area network (LAN), a wide area network (WAN), a value added network (VAN), a personal local area network (PAN), a mobile communication network ( Mobile radio communication network) or all types of wired/wireless networks, such as satellite communication networks, may be implemented.
본 명세서에서 설명되는 서비스 제공 장치(100)는 메일을 통하여 의도하지 않은 프로그램의 실행과 메일 관련 시스템의 데이터 처리 능력 저하, 피싱 사기 등을 야기하는 공격을 탐지하고 차단할 수 있는 메일 보안 서비스를 제공할 수 있다.The service providing apparatus 100 described in this specification provides a mail security service capable of detecting and blocking attacks that cause unintended execution of programs through mail, deterioration of data processing capabilities of mail-related systems, and phishing scams. can
그리고 본 명세서에서 설명되는 사용자단말(200)은 PC(personal computer), 노트북 컴퓨터(laptop computer), 휴대폰(Mobile phone), 태블릿 PC(Tablet PC), PDA(Personal Digital Assistants), PMP(Portable Multimedia Player) 등이 포함될 수 있으나, 본 발명은 이에 한정되지 아니하며 공중망 또는 사설망 등을 통해 상기 서비스 제공 장치(100)와 메일서버(300) 등과 연결이 가능한 장치일 수 있다. And the user terminal 200 described in this specification is a PC (personal computer), a notebook computer (laptop computer), a mobile phone (Mobile phone), a tablet PC (Tablet PC), PDA (Personal Digital Assistants), PMP (Portable Multimedia Player) ), etc. may be included, but the present invention is not limited thereto, and may be a device capable of connecting to the service providing apparatus 100 and the mail server 300 through a public network or a private network.
이에 더하여 각각의 장치는 애플리케이션 구동 또는 웹 브라우징을 통한 정보의 입출력이 가능한 다양한 장치일 수 있다. 특히, 일반적으로 사용자단말(200)들은 개별적인 보안 네트워크를 통해 상기 서비스 제공 장치(100)와 연결될 수 있다.In addition, each device may be a variety of devices capable of inputting and outputting information through application driving or web browsing. In particular, in general, the user terminals 200 may be connected to the service providing apparatus 100 through an individual security network.
상기 메일서버(300)는 사용자가 사용자단말(200)을 통해 작성한 메일을 발신하거나 상대방이 사용자단말(200)을 통해 작성한 메일을 수신할 수 있도록 전자 우편 내용을 중계 및 보관하는 시스템이다. 상기 메일서버(300)는 메일의 수신과 발신 처리라는 사용 목적에 따라 사전 설정된 프로토콜을 활용하여 상호간 통신을 수행할 수 있다. The mail server 300 is a system for relaying and storing e-mail contents so that the user can transmit the mail created through the user terminal 200 or the other party can receive the mail created through the user terminal 200 . The mail server 300 may communicate with each other by using a preset protocol according to the purpose of use of processing receiving and sending mail.
일반적으로 상기 프로토콜은 메일의 수신 처리 시, POP3(Post Office Protocol 3), IMAP(Internet Message Access Protocol)이 사용될 수 있다. 또한 상기 프로토콜은 메일의 발신 처리 시, SMTP(Simple Mail Transfer Protocol)가 사용될 수 있다. 이와 같이, 메일서버(300)는 메일 송수신 처리를 위한 서버(server) 시스템으로 구성되어 작동할 수 있다. 또한 상기 메일서버(300)는 메일수신서버와 메일발신서버로 세분화되어 각각의 기능을 제공할 수 있다.In general, as for the protocol, POP3 (Post Office Protocol 3) and IMAP (Internet Message Access Protocol) may be used when receiving and processing mail. In addition, the protocol may use SMTP (Simple Mail Transfer Protocol) when sending mail. As such, the mail server 300 may be configured and operated as a server system for mail transmission/reception processing. In addition, the mail server 300 may be subdivided into a mail receiving server and a mail sending server to provide respective functions.
도 2 및 도 3은 본 발명의 일 실시 예에 따른 메일 보안 서비스 제공 장치를 설명하기 위한 블록도이다.2 and 3 are block diagrams for explaining an apparatus for providing a mail security service according to an embodiment of the present invention.
도 2 및 도 3을 참조하면, 본 발명의 일 실시 예에 따른 서비스 제공 장치(100)는, 제어부(110), 수집부(120), 보안위협 검사부(130), 관계분석부(140), 메일 처리부(150), 사용자단말 통제부(160), 레코드 관리부(170), 취약점 테스트부(180), 통신부(190)를 포함할 수 있다.2 and 3 , the service providing apparatus 100 according to an embodiment of the present invention includes a control unit 110 , a collection unit 120 , a security threat inspection unit 130 , a relationship analysis unit 140 , It may include a mail processing unit 150 , a user terminal control unit 160 , a records management unit 170 , a vulnerability test unit 180 , and a communication unit 190 .
제어부(110)는 상기 서비스 제공 장치(100) 각 구성요소들의 동작을 전반적으로 제어하기 위한 하나 이상의 프로세서로 구현될 수 있다.The control unit 110 may be implemented as one or more processors for overall controlling the operation of each component of the service providing apparatus 100 .
수집부(120)는 하나 이상의 사용자단말(200) 간 송수신되는 메일정보를 수집할 수 있다. 상기 메일정보는 이메일 헤더 정보, 이메일 제목, 이메일 내용 본문, 일정 기간 수신 횟수 등을 포함할 수 있다.The collection unit 120 may collect mail information transmitted and received between one or more user terminals 200 . The e-mail information may include e-mail header information, e-mail subject, e-mail content body, number of times received for a certain period, and the like.
구체적으로, 상기 이메일 헤더 정보는 메일 발신 서버 IP 주소, 메일 발신 서버 호스트 이름 정보, 발신자 메일 도메인 정보, 발신자 메일 주소, 메일 수신 서버 IP 주소, 메일 수신 서버 호스트 이름 정보, 수신자 메일 도메인 정보, 수신자 메일 주소, 메일 프로토콜 정보, 메일 수신 시간 정보, 메일 발신 시간 정보 등을 포함할 수 있다. Specifically, the email header information includes a mail sending server IP address, mail sending server host name information, sender mail domain information, sender mail address, mail receiving server IP address, mail receiving server host name information, recipient mail domain information, recipient mail It may include an address, mail protocol information, mail reception time information, mail transmission time information, and the like.
또한 상기 이메일 헤더는 메일이 송수신 되는 과정에 있어 필요한 네트워크 경로 정보, 메일 교환을 위한 메일 서비스 시스템 간 사용 프로토콜 정보 등을 포함할 수 있다.In addition, the email header may include network path information necessary for a process of sending and receiving mail, protocol information used between mail service systems for mail exchange, and the like.
추가적으로 상기 메일정보는 첨부파일의 확장자, 첨부파일의 해시정보, 첨부파일명, 첨부파일 내용 본문, URL(Uniform Resource Locator) 정보 등을 포함할 수 있다. 상기 첨부파일은 발신자가 수신자에게 전달하고자 하는 메일 본문 내용에 더하여 추가적인 정보를 전달하거나 또는 정보 회신을 요구하기 위한 추가적인 콘텐츠를 포함할 수 있다. Additionally, the mail information may include the extension of the attached file, hash information of the attached file, the name of the attached file, the body of the attached file, Uniform Resource Locator (URL) information, and the like. The attachment may include additional content for transmitting additional information or requesting an information reply in addition to the mail body content that the sender wants to deliver to the receiver.
상기 콘텐츠는 텍스트, 이미지, 동영상 등을 제공할 수 있다. 수신자는 메일에 첨부되어 있는 파일에 대응되는 애플리케이션을 실행시켜 콘텐츠를 확인할 수 있다. 또한 수신자는 메일에 첨부되어 있는 파일을 로컬저장장치에 다운로드하여 저장 및 관리가 가능하다.The content may provide text, an image, a video, and the like. The recipient can check the content by running an application corresponding to the file attached to the mail. In addition, the recipient can download the file attached to the mail to a local storage device and store and manage it.
상기 첨부파일의 확장자는 파일의 형식이나 종류를 구분할 수 있다. 상기 첨부파일의 확장자는 일반적으로 파일의 속성이나 파일을 생성한 애플리케이션을 나타내는 문자열로 구분될 수 있다. 예를 들어, 텍스트 파일은 [파일명].txt, MS워드 파일은 [파일명].doc(docx), 한글 파일은 [파일명].hwp 등의 확장자로 구분될 수 있다. 또한 이미지 파일은 gif, jpg, png, tif 등으로 확장자가 구분될 수 있다. The extension of the attached file can distinguish the format or type of the file. In general, the extension of the attached file may be divided into a character string indicating a file attribute or an application that created the file. For example, a text file may be divided into [file name].txt, an MS word file may be classified with an extension such as [file name].doc(docx), and a Korean file may be distinguished by an extension such as [file name].hwp. In addition, the image file extension may be divided into gif, jpg, png, tif, and the like.
추가적으로 코드화 된 명령에 따라 지시된 작업을 수행하도록 하는 컴퓨터 파일인 실행파일은 [파일명].com, [파일명].exe, [파일명].bat, [파일명].dll, [파일명].sys, [파일명].scr 등으로 구분될 수 있다.Executable files, which are computer files that additionally carry out the specified work according to the coded commands, are [file name].com, [file name].exe, [file name].bat, [file name].dll, [file name].sys, [ file name].scr, etc.
상기 첨부파일의 해시정보는 정보의 위변조를 확인하여 정보의 무결성을 보장할 수 있다. 해시정보 또는 해시값은 해시함수를 통해 임의의 길이를 가지는 임의의 데이터에 대해 일정한 길이의 비트열로 매핑될 수 있다. The hash information of the attached file can ensure the integrity of the information by checking forgery of the information. The hash information or hash value may be mapped to a bit string of a certain length for arbitrary data having an arbitrary length through a hash function.
이를 통해 최초 생성되는 첨부파일에 대하여 해시함수를 통해 출력되는 해시정보는 고유의 값을 가지게 된다. 상기 출력되는 해시정보 또는 해시값은 역으로 함수에 입력되는 데이터를 추출할 수 없는 일방향성을 가진다. 또한 해시함수는 하나의 주어진 입력 데이터에 대하여 출력된 해시정보 또는 해시값과 동일한 출력을 제공하는 또 다른 입력 데이터는 계산적으로 불가능한 충돌 회피성을 보장할 수 있다. 이에 따라, 상기 첨부파일의 데이터를 수정하거나 추가하게 되면 해시함수의 출력값은 상이하게 반환된다. Through this, the hash information output through the hash function for the initially created attached file has a unique value. The output hash information or hash value has unidirectionality in that data input to the function cannot be extracted. In addition, the hash function can guarantee collision avoidance that is computationally impossible for another input data that provides the same output as hash information or hash value output with respect to one given input data. Accordingly, when the data of the attached file is modified or added, the output value of the hash function is returned differently.
이와 같이, 상기 첨부파일의 고유한 해시정보는 메일을 통해 주고 받는 파일에 대하여 해시정보 또는 해시값을 비교함으로써 파일의 수정, 위변조 여부를 확인할 수 있다. 또한 상기 해시정보는 고유한 값으로 고정되기 때문에 악의적인 의도를 가지고 생성한 파일에 대한 과거 히스토리의 데이터베이스인 평판 정보를 활용함으로써 사전 방역 조치를 가능하게 할 수 있다. 추가적으로 상기 해시함수는 일방향성과 충돌 회피성을 보장할 수 있는 기술 및 버전으로 이용될 수 있다.In this way, the unique hash information of the attached file can be checked whether the file has been modified or forged by comparing the hash information or hash value with respect to a file sent and received through mail. In addition, since the hash information is fixed as a unique value, it is possible to enable proactive prevention measures by using reputation information, which is a database of past histories for files created with malicious intent. Additionally, the hash function may be used as a technology and version that can ensure unidirectionality and collision avoidance.
예를 들어, 해시정보는 바이러스토탈 웹사이트나 멀웨어즈 웹사이트를 통해 파일의 악성코드 유무에 대한 검색 정보로 활용될 수 있다. 상기 파일의 해시정보 분석을 제공하는 웹사이트를 통해서 파일의 제공업체, 파일의 해시값 등의 정보를 제공받을 수 있다. 또한 파일의 해시정보에 대한 검색 결과는 다수의 IT 정보 보안 솔루션을 제공하는 글로벌 회사에서 판별한 평판 정보를 크로스 체크할 수 있어 보다 신뢰성 있는 정보로 판단이 가능하다.For example, the hash information may be used as search information for whether or not there is a malicious code in a file through the VirusTotal website or the Malwares website. Information such as a provider of the file and a hash value of the file may be provided through a website that provides analysis of the hash information of the file. In addition, the search result for the hash information of the file can be judged as more reliable information because it can cross-check the reputation information determined by global companies that provide multiple IT information security solutions.
보안위협 검사부(130)는 사전 설정된 보안위협 아키텍처에 따라, 상기 메일정보에 대응하는 메일보안 프로세스의 단계별 매칭을 처리하고, 상기 매칭 처리된 메일보안 프로세스에 의해 상기 메일정보를 검사하며, 상기 검사결과에 따른 메일보안 검사정보를 저장 및 관리할 수 있다.The security threat inspection unit 130 processes matching step-by-step of a mail security process corresponding to the mail information according to a preset security threat architecture, checks the mail information by the matching processed mail security process, and the inspection result It is possible to store and manage mail security inspection information according to
상기 보안위협 아키텍처는 스팸메일 보안위협, 악성코드 보안위협, 사회공학적 보안위협, 내부정보 유출 보안위협 등으로 구분될 수 있다. 상기 보안위협 아키텍처에 의해 보안위협 유형/레벨/프로세스/우선순위/처리순서가 설정될 수 있다.The security threat architecture can be divided into spam email security threats, malicious code security threats, social engineering security threats, and internal information leakage security threats. The security threat type/level/process/priority/processing order may be set by the security threat architecture.
상기 보안위협 아키텍처에 따라 대응되는 메일보안 프로세스는 스팸메일 보안 프로세스, 악성코드 보안 프로세스, 사칭메일 보안 프로세스, 메일반출 보안 프로세스 등을 포함할 수 있다.The mail security process corresponding to the security threat architecture may include a spam mail security process, a malicious code security process, an impersonated mail security process, a mail export security process, and the like.
상기 메일보안 프로세스는 상기 보안위협 아키텍처에 따라 수신메일인지 발신메일인지에 대응하는 서로 다른 메일보안 프로세스가 결정될 수 있다. 또한 상기 메일보안 프로세스의 검사 순서 또는 검사 레벨은 사전 설정한 보안 단계 및 아키텍처에 의해 결정될 수 있다.In the mail security process, different mail security processes corresponding to incoming mail or outgoing mail may be determined according to the security threat architecture. In addition, the inspection order or inspection level of the mail security process may be determined by a preset security level and architecture.
상기 메일보안 프로세스는 수신 또는 발신을 위한 메일정보가 사용자 단말(200)에서 전송되면 독립적으로 구분 된 프로세스가 리소스로 할당되고 상기 메일정보에서 할당된 검사영역에서 즉각적으로 실행될 수 있는 유동적 리소스 할당 방식은 가상공간 개념으로 설명될 수 있다. 상기 가상공간으로 리소스를 할당하는 방식에서 메일보안 프로세스는 처리가 완료 시, 순차적으로 유입되는 메일정보에서 할당된 검사영역에서 작업을 즉각적으로 처리할 수 있다. In the mail security process, when mail information for reception or transmission is transmitted from the user terminal 200, an independently divided process is allocated as a resource, and a flexible resource allocation method that can be immediately executed in the inspection area allocated from the mail information is It can be described as a virtual space concept. In the method of allocating resources to the virtual space, when the processing is completed, the mail security process can immediately process the task in the inspection area allocated from the sequentially incoming mail information.
대조적으로 가상환경, 가상머신과 같이 하나의 리소스 안에서 처리가 제한되는 일정 프로세스가 할당된 환경은 요청되는 작업을 처리 시, 특정 프로세스의 처리가 완료되기 까지 다른 프로세스들이 대기하는 아이들(idle) 타임을 가질 수 있다. 이처럼 프로세스를 통한 분석 방식에 있어서, 유동적 리소스는 고정형 리소스와 비교 시 처리 속도 및 성능에서 우위를 가질 수 있다.In contrast, an environment to which a certain process with limited processing within one resource is assigned, such as a virtual environment or virtual machine, reduces the idle time when other processes wait until the processing of a specific process is completed when processing a requested task. can have As such, in the analysis method through the process, the flexible resource may have an advantage in processing speed and performance compared to the fixed resource.
상기 보안위협 검사부(130)는 상기 수집부(120)에서 수집된 상기 메일정보에 따라 수신 또는 발신 목적으로 메일을 구분할 수 있다. 이 후, 상기 보안위협 검사부(130)는 상기 메일보안 프로세스를 순차적 또는 설정된 우선순위에 근거하여 매칭하고 분석함으로써 각각의 메일에 대한 메일보안 검사 정보를 획득할 수 있다.The security threat inspection unit 130 may classify the mail for the purpose of reception or transmission according to the mail information collected by the collection unit 120 . Thereafter, the security threat inspection unit 130 may acquire mail security inspection information for each mail by matching and analyzing the mail security process sequentially or based on a set priority.
상기 스팸메일 보안위협은 관계없는 발신자와 수신자 간에 광고와 홍보 등을 목적으로 일방적, 대량으로 불특정 다수에게 무차별적으로 살포되는 메일 유형을 포함할 수 있다. 또한 대량의 스팸메일은 메일 시스템의 데이터 처리 능력에 부하를 주게 되어 시스템의 처리 능력을 저하시키는 원인이 될 수도 있다. 또한 스팸메일은 내용 본문 등에 포함된 무분별한 정보에 대하여 사용자가 의도하지 않게 연결될 수 있고 잠재적인 피싱 사기를 위한 정보로 위장될 수 있는 위험성이 있다.The spam email security threat may include a type of email that is distributed indiscriminately to an unspecified number of people unilaterally and in bulk for the purpose of advertising and publicity between unrelated senders and recipients. In addition, a large amount of spam mail may cause a load on the data processing capability of the mail system, which may cause deterioration of the processing capability of the system. In addition, there is a risk that the spam mail may be unintentionally linked to the indiscriminate information included in the body of the content, and may be disguised as information for potential phishing scams.
이같은 스팸메일을 검출하고 필터링하기 위하여 상기 보안위협 검사부(130)는 스팸메일 검사부(131)를 포함할 수 있다. 상기 스팸메일 검사부(131)는 상기 메일보안 프로세스가 스팸메일 보안 프로세스인 경우, 메일 헤더 정보, 메일 제목, 메일 내용 본문, 일정 기간 수신 횟수 등을 포함하는 상기 메일정보를 사전 설정한 스팸지표와 단계별로 매칭할 수 있다. In order to detect and filter such spam mail, the security threat inspection unit 130 may include a spam mail inspection unit 131 . When the mail security process is a spam mail security process, the spam mail inspection unit 131 sets the mail information including mail header information, mail title, mail content body, and the number of times received for a certain period in advance with a spam index and step-by-step can be matched with
상기 스팸메일 검사부(131)는 메일 헤더 정보와 메일 제목, 메일 내용 본문 등을 포함하는 메일정보에 대하여 스팸메일로 구분할 수 있는 일정 패턴 검사 등을 통해 스팸지표에서 검사항목으로 이용할 수 있다. 이를 통해 상기 스팸메일 검사부(131)는 상기 스팸지표를 단계별로 매칭하여 스팸메일 검사정보를 획득하고 저장 및 관리할 수 있다. The spam mail inspection unit 131 may use the mail information including the mail header information, the mail title, and the mail content body as an inspection item in the spam index through a schedule pattern inspection that can be classified as spam mail. Through this, the spam mail inspection unit 131 can acquire, store, and manage spam mail inspection information by matching the spam indicators step by step.
상기 스팸지표는 단계별로 메일정보에 포함되는 항목에 기반한 검사항목과 검사를 통한 수준값이 설정될 수 있다. 본 발명의 일 실시 예에 따르면, 스팸지표는 Level 1, Level 2, Level 3, ..., Level [n]으로 세분화 및 단계화되어 구성될 수 있다. The spam indicator may be set to a level value through inspection items and inspection based on items included in the mail information step by step. According to an embodiment of the present invention, the spam indicator may be subdivided and configured into Level 1, Level 2, Level 3, ..., Level [n].
상기 스팸지표 Level 1은 빅데이터 및 평판 정보에 기반하여 메일정보에 포함되는 메일 제목 데이터를 매칭할 수 있다. 이를 통해 상기 스팸지표 Level 1은 평가된 수준값을 스팸지표 Level 1의 검사정보로 획득할 수 있다. 상기 수준값은 정량적으로 측정될 수 있는 정보로 설정될 수 있다. 예를 들어, 상기 스팸지표 Level 1의 검사정보는 검사항목인 메일 제목에 '광고', '홍보' 등의 문구가 포함되어 있을 시, 상기 빅데이터 및 평판 정보에서 스팸메일로 정의한 정보와 일치되는 경우 0과 1로 구분된 수준값에서 '1'로 평가될 수 있다. 이를 통해 스팸지표 Level 1의 검사정보는 '1'로 획득될 수 있다.The spam indicator Level 1 may match the mail title data included in the mail information based on big data and reputation information. Through this, the spam indicator Level 1 can acquire the evaluated level value as the inspection information of the spam indicator Level 1. The level value may be set as information that can be quantitatively measured. For example, when the inspection information of the spam indicator Level 1 includes phrases such as 'advertisement' and 'publicity' in the mail title, which is an inspection item, it matches the information defined as spam in the big data and reputation information. In this case, it can be evaluated as '1' in the level values divided into 0 and 1. Through this, the inspection information of spam indicator Level 1 can be obtained as '1'.
추가적으로 상기 스팸지표 Level 2는 사용자 지정 키워드에 기반하여 메일정보에 포함되는 데이터를 매칭할 수 있다. 이를 통해 상기 스팸지표 Level 2는 평가된 수준값을 스팸지표 Level 2의 검사정보로 획득할 수 있다. 예를 들어, 상기 스팸지표 Level 2의 검사정보는 검사항목인 메일 내용 본문에 '특가', '초특가', '세일', 'sale', '품절' 등을 포함하는 키워드가 포함되어 있을 시, 상기 사용자 지정 키워드에서 스팸메일로 정의한 정보와 일치되는 경우 0과 1로 구분된 수준값에서 '1'로 평가될 수 있다. 이를 통해 스팸지표 Level 2의 검사정보는 '1'로 획득될 수 있다.Additionally, the spam indicator Level 2 may match data included in mail information based on a user-specified keyword. Through this, the spam indicator Level 2 can acquire the evaluated level value as the inspection information of the spam indicator Level 2 . For example, the inspection information of the spam indicator Level 2 includes keywords including 'special price', 'super special price', 'sale', 'sale', 'out of stock', etc. When the user-specified keyword matches the information defined as spam mail, it may be evaluated as '1' in a level value divided into 0 and 1. Through this, the inspection information of the spam indicator Level 2 can be obtained as '1'.
다음 단계로 상기 스팸지표 Level 3은 이미지 분석에 기반하여 메일정보에 포함되는 데이터를 매칭할 수 있다. 이를 통해 상기 스팸지표 Level 3은 평가된 수준값을 스팸지표 Level 3의 검사정보로 획득할 수 있다. 예를 들어, 상기 스팸지표 Level 3의 검사정보는 검사항목인 메일 내용 본문에 포함되는 이미지를 분석하여 추출한 데이터에서 '080'으로 시작하는 전화번호 등이 포함되어 있을 시, 상기 이미지 분석에서 스팸메일로 정의한 정보와 일치되는 경우 0과 1로 구분된 수준값에서 '1'로 평가될 수 있다. 이를 통해 스팸지표 Level 3의 검사정보는 '1'로 획득될 수 있다. As a next step, the spam indicator Level 3 can match data included in mail information based on image analysis. Through this, the spam indicator Level 3 can acquire the evaluated level value as the inspection information of the spam indicator Level 3 . For example, when the inspection information of the spam indicator Level 3 includes a phone number starting with '080' in the data extracted by analyzing the image included in the main body of the mail content, which is the inspection item, the image analysis results in spam mail If it matches the information defined as , it can be evaluated as '1' in the level values divided into 0 and 1. Through this, the inspection information of spam indicator Level 3 can be obtained as '1'.
이와 같이 상기 스팸메일 보안 프로세스를 통해 스팸지표 레벨 단위로 획득된 검사정보는 최종적으로 합산('3')되어 스팸메일 검사정보로 저장 및 관리될 수 있다. 이렇게 합산된 스팸메일 검사정보는 상기 메일보안 검사정보에 포함되어 관리될 수 있고 상기 메일 처리부(150)에서 보안위협 판별정보로 활용될 수 있다. As described above, the inspection information acquired in units of the spam indicator level through the spam mail security process may be finally summed ('3') and stored and managed as spam mail inspection information. The summed spam mail inspection information may be included in the mail security inspection information and managed, and may be utilized as security threat determination information in the mail processing unit 150 .
상기 보안위협 검사부(130)는 악성코드 검사부(132)를 더 포함할 수 있다. 상기 악성코드 검사부(132)는 상기 메일보안 프로세스가 악성코드 보안 프로세스인 경우, 첨부파일의 확장자, 첨부파일의 해시정보, 첨부파일명, 첨부파일 내용 본문, URL(Uniform Resource Locator) 정보 등을 더 포함하는 상기 메일정보를 사전 설정한 악성코드지표와 단계별로 매칭할 수 있다.The security threat inspection unit 130 may further include a malicious code inspection unit 132 . When the mail security process is a malicious code security process, the malicious code inspection unit 132 further includes the extension of the attached file, hash information of the attached file, the name of the attached file, the body of the attached file, Uniform Resource Locator (URL) information, and the like. It is possible to match the mail information to a preset malicious code index step by step.
상기 악성코드 검사부(132)는 첨부파일의 속성값으로 확인할 수 있는 첨부파일의 확장자, 첨부파일의 해시정보, 첨부파일명 등과 함께 첨부파일 내용 본문과 내용 본문에 포함되는 URL(Uniform Resource Locator) 정보를 악성코드지표 검사 항목으로 이용할 수 있다. 이를 통해 상기 악성코드 검사부(132)는 상기 악성코드지표를 항목에 따라 단계별로 매칭하여 악성코드 검사정보를 획득하고 저장 및 관리할 수 있다.The malicious code inspection unit 132 detects the attachment file content body and URL (Uniform Resource Locator) information included in the content body along with the attachment file extension, hash information of the attachment file, attachment file name, etc. It can be used as a malware index inspection item. Through this, the malicious code inspection unit 132 can acquire, store, and manage the malicious code inspection information by matching the malicious code index step by step according to the items.
상기 악성코드지표는 단계별로 메일정보에 포함되는 항목에 기반한 검사항목과 검사를 통한 수준값이 설정될 수 있다. 본 발명의 일 실시 예에 따르면, 악성코드지표는 Level 1, Level 2, Level 3, ..., Level [n]으로 세분화 및 단계화되어 구성될 수 있다. As for the malicious code index, an inspection item based on an item included in the mail information and a level value through inspection may be set for each step. According to an embodiment of the present invention, the malicious code index may be subdivided and configured into Level 1, Level 2, Level 3, ..., Level [n].
상기 악성코드지표 Level 1은 빅데이터 및 평판 정보에 기반하여 메일정보에 포함되는 첨부파일명, 첨부파일의 확장자를 매칭할 수 있다. 이를 통해 상기 악성코드지표 Level 1은 평가된 수준값을 악성코드지표 Level 1의 검사정보로 획득할 수 있다. 예를 들어, 상기 악성코드지표 Level 1의 검사정보는 검사항목인 첨부파일명이 'Trojan', 첨부파일의 확장자가 'exe'를 포함하고 있을 시, 상기 빅데이터 및 평판 정보에서 악성코드로 정의된 정보와 일치되는 경우, 0과 1로 구분된 수준값에서 '1'로 평가될 수 있다. 이를 통해 악성코드지표 Level 1의 검사정보는 '1'로 획득될 수 있다.The malicious code indicator Level 1 may match the name of the attached file and the extension of the attached file included in the mail information based on big data and reputation information. Through this, the level value evaluated for the malicious code index Level 1 can be acquired as inspection information of the malicious code index Level 1. For example, when the inspection information of the malicious code indicator Level 1 includes 'Trojan' and the extension of the attached file includes 'exe', the inspection item is defined as malicious code in the big data and reputation information. If the information is matched, it can be evaluated as '1' in the level values divided into 0 and 1. Through this, the inspection information of the malicious code indicator Level 1 can be obtained as '1'.
추가적으로 상기 악성코드지표 Level 2는 빅데이터 및 평판 정보에 기반하여 메일 첨부파일의 해시정보를 매칭할 수 있다. 이를 통해 평가된 수준값을 악성코드지표 Level 2의 검사정보로 획득할 수 있다. 예를 들어, 상기 악성코드지표 Level 2의 검사정보는 검사항목인 첨부파일 해시정보가 'a1b2c3d4'로 분석 시, 상기 평판 정보에서 악성코드로 정의된 정보와 일치되는 경우 0과 1로 구분된 수준값에서 '1'로 평가될 수 있다. 이를 통해 악성코드지표 Level 2의 검사정보는 '1'로 획득될 수 있다.Additionally, the malicious code indicator Level 2 may match hash information of an attached mail file based on big data and reputation information. Through this, the evaluated level value can be acquired as inspection information of the malicious code indicator Level 2. For example, when the inspection information of the malicious code indicator Level 2 is analyzed as 'a1b2c3d4', the inspection item attachment hash information is the same as the information defined as malicious code in the reputation information, the level is divided into 0 and 1 It may evaluate to '1' in the value. Through this, the inspection information of the malicious code indicator Level 2 can be obtained as '1'.
다음 단계로 상기 악성코드지표 Level 3은 URL 평판 정보에 기반하여 첨부파일 또는 메일 내용 본문에 포함된 URL(Uniform Resource Locator) 정보를 매칭할 수 있다. 이를 통해 평가된 수준값을 악성코드지표 Level 3의 검사정보로 획득할 수 있다. 예를 들어, 상기 악성코드지표 Level 3의 검사정보는 검사항목인 URL 정보가 'www.malicious-code.com'으로 확인 시, 상기 URL 평판 정보에서 악성코드 파일이 포함되는 유해 사이트로 정의된 정보와 일치되는 경우 0과 1로 구분된 수준값에서 '1'로 평가될 수 있다. 이를 통해 악성코드지표 Level 3의 검사정보는 '1'로 획득될 수 있다. 그리고 상기 악성코드 검사부(132)는 URL 평판 정보에서 누락될 수 있는 제로데이 공격에 대응할 수 있다. 상기 악성코드 검사부(132)는 평판 정보가 없는 URL에 대한 링크 IP 주소를 특정 시스템의 IP 주소로 변경하고 변경된 IP 주소를 사용자단말(200)에 제공할 수 있다. 상기 사용자단말(200)은 상기 URL에 접속하고자 할 시, 상기 악성코드 검사부(132)가 변경한 특정 시스템의 IP 주소로 접속될 수 있다. 이 전에 상기 URL에 대한 링크 IP 주소로 변경된 특정 시스템은 지속적으로 URL의 엔드포인트까지 악성코드 포함 여부를 검사할 수 있다. As a next step, the malicious code indicator Level 3 can match URL (Uniform Resource Locator) information included in an attachment or mail content body based on URL reputation information. Through this, the evaluated level value can be acquired as inspection information of the malicious code indicator Level 3. For example, the inspection information of the malicious code indicator Level 3 is information defined as a harmful site including a malicious code file in the URL reputation information when the URL information, which is an inspection item, is confirmed as 'www.malicious-code.com'. In the case of matching with 0, it can be evaluated as '1' in the level values divided into 0 and 1. Through this, the inspection information of the malicious code indicator Level 3 can be obtained as '1'. In addition, the malicious code inspection unit 132 may respond to a zero-day attack that may be omitted from the URL reputation information. The malicious code inspection unit 132 may change the link IP address for a URL without reputation information to an IP address of a specific system and provide the changed IP address to the user terminal 200 . When the user terminal 200 attempts to access the URL, it may be connected to the IP address of a specific system changed by the malicious code inspection unit 132 . A specific system that has previously been changed to the link IP address for the URL can continuously check whether or not malicious code is included up to the endpoint of the URL.
이와 같이 상기 악성코드 보안 프로세스를 통해 악성코드지표 레벨 단위로 획득된 검사정보는 최종적으로 합산('3')되어 악성코드 검사정보로 저장 및 관리될 수 있다. 이렇게 합산된 악성코드 검사정보는 상기 메일보안 검사정보에 포함되어 관리될 수 있고 상기 메일 처리부(150)에서 보안위협 판별정보로 활용될 수 있다. As described above, the inspection information acquired in units of the malicious code index level through the malicious code security process may be finally summed up ('3') and stored and managed as malicious code inspection information. The summed malicious code inspection information may be included in the mail security inspection information and managed, and may be utilized as security threat determination information in the mail processing unit 150 .
상기 보안위협 검사부(130)는 사칭메일 검사부(133)를 더 포함할 수 있다. 상기 사칭메일 검사부(133)는 메일보안 프로세스가 사칭메일 보안 프로세스인 경우로 상기 관계분석부(140)를 통해 획득되는 관계분석정보에 대하여 사전 설정한 관계분석지표와 단계별로 매칭할 수 있다. 상기 관계분석정보는 메일정보 및 정상으로 확인 된 메일의 속성정보 등을 포함하는 메일정보 분석을 통해 획득될 수 있다. The security threat inspection unit 130 may further include an impersonated mail inspection unit 133 . When the mail security process is an impersonated mail security process, the impersonated mail inspection unit 133 may match the relation analysis information obtained through the relation analysis unit 140 with a preset relation analysis index step by step. The relationship analysis information may be obtained through mail information analysis including mail information and attribute information of mails confirmed as normal.
상기 사칭메일 검사부(133)는 정상으로 판별된 메일에서 추출될 수 있는 수신 메일 도메인, 발신 메일 도메인, 수신 메일 주소, 발신 메일 주소, 메일 라우팅, 메일 내용 본문 정보 등을 관계분석지표 검사항목으로 이용할 수 있다. 이를 통해 상기 사칭메일 검사부(133)는 상기 관계분석지표를 항목에 따라 단계별로 매칭하여 사칭메일 검사정보를 획득하고 저장 및 관리할 수 있다. 이를 통해 상기 사칭메일 검사부(133)는 유사 도메인을 검출할 수 있고 메일의 발송 경로를 추적 또는 검증하여 보안위협을 가할 수 있는 메일을 필터링 할 수 있다.The impersonated mail inspection unit 133 uses the received mail domain, the outgoing mail domain, the incoming mail address, the outgoing mail address, mail routing, mail content body information, etc. that can be extracted from the mail determined as normal, as relationship analysis index check items. can Through this, the impersonated mail inspection unit 133 may acquire, store, and manage the impersonated mail inspection information by matching the relationship analysis index according to the items step by step. Through this, the impersonated mail inspection unit 133 can detect similar domains and can filter mails that may pose a security threat by tracking or verifying the sending route of the mail.
상기 관계분석지표는 단계별로 상기 관계분석정보에 기반한 검사항목과 검사를 통한 수준값이 설정될 수 있다. 본 발명의 일 실시 예에 따르면, 관계분석지표는 Level 1, Level 2, Level 3, ..., Level [n]으로 세분화 및 단계화되어 구성될 수 있다. As for the relation analysis index, the level value through the inspection item and inspection based on the relation analysis information may be set step by step. According to an embodiment of the present invention, the relationship analysis index may be subdivided and configured into Level 1, Level 2, Level 3, ..., Level [n].
상기 관계분석지표 Level 1은 평판 정보에 기반하여 발신자 메일의 도메인, 발신자 메일의 주소 등을 매칭할 수 있다. 이를 통해 상기 관계분석지표 Level 1은 평가된 수준값을 관계분석지표 Level 1의 검사정보로 획득할 수 있다. 예를 들어, 상기 관계분석지표 Level 1의 검사정보는 검사항목인 발신된 메일의 도메인이 '@사칭.com'이고 발신자 메일의 주소가 '사칭@'을 포함하고 있을 시, 상기 평판 정보에서 악성코드로 정의된 정보와 일치되는 경우, 0과 1로 구분된 수준값에서 '1'로 평가될 수 있다.The relationship analysis index Level 1 may match the domain of the sender's mail, the address of the sender's mail, and the like, based on reputation information. Through this, the relationship analysis index Level 1 may acquire the evaluated level value as inspection information of the relationship analysis index Level 1. For example, the inspection information of the relational analysis indicator Level 1 is malicious in the reputation information when the domain of the sent mail, which is the inspection item, is '@impersonation.com' and the sender's mail address contains 'impersonation@'. If it matches the information defined by the code, it can be evaluated as '1' in the level values separated by 0 and 1.
추가적으로 상기 관계분석지표 Level 2는 상기 관계분석정보에 기반하여 발신자 메일의 도메인, 발신자 메일의 주소 등을 매칭할 수 있다. 이를 통해 상기 관계분석지표 Level 2는 평가된 수준값을 관계분석지표 Level 2의 검사정보로 획득할 수 있다. 예를 들어, 상기 관계분석지표 Level 2의 검사정보는 검사항목인 발신된 메일의 도메인이 '@사칭.com'이고 발신자 메일의 주소가 '사칭@'을 포함하고 있을 시, 상기 관계분석정보에서 정상메일의 속성정보로 정의된 정보와 일치되지 않는 경우, 0과 1로 구분된 수준값에서 '1'로 평가 될 수 있다. 이를 통해 관계분석지표 Level 3의 검사정보는 '1'로 획득될 수 있다.Additionally, the relationship analysis indicator Level 2 may match the domain of the sender mail, the address of the sender mail, and the like, based on the relationship analysis information. Through this, the relationship analysis index Level 2 may acquire the evaluated level value as inspection information of the relationship analysis index Level 2 . For example, in the inspection information of the relationship analysis indicator Level 2, when the domain of the outgoing mail, which is an inspection item, is '@impersonation.com' and the sender's mail address includes 'impersonation@', in the relation analysis information If it does not match the information defined as the attribute information of normal mail, it can be evaluated as '1' at the level values divided into 0 and 1. Through this, the inspection information of the relationship analysis index Level 3 can be obtained as '1'.
다음단계로 상기 관계분석지표 Level 3는 상기 관계분석정보에 기반하여 메일 라우팅 정보 등을 매칭할 수 있다. 이를 통해 상기 관계분석지표 Level 3는 평가된 수준값을 관계분석지표 Level 3의 검사정보로 획득할 수 있다. 예를 들어, 상기 관계분석지표 Level 3의 검사정보는 검사항목인 메일 라우팅 정보가 '1.1.1.1', '2.2.2.2', '3.3.3.3' 으로 확인 시, 메일의 전송 경로인 상기 라우팅 정보가 상기 관계분석정보에서 정상메일의 속성정보로 정의된 정보와 일치되지 않는 경우, 0과 1로 구분된 수준값에서 '1'로 평가 될 수 있다. 이를 통해 관계분석지표 Level 3의 검사정보는 '1'로 획득될 수 있다.As a next step, the relationship analysis indicator Level 3 may match mail routing information and the like based on the relationship analysis information. Through this, the relationship analysis index Level 3 can acquire the evaluated level value as inspection information of the relationship analysis index Level 3 . For example, in the inspection information of the relationship analysis indicator Level 3, when mail routing information, which is an inspection item, is checked as '1.1.1.1', '2.2.2.2', and '3.3.3.3', the routing information that is the transmission path of the mail In the relation analysis information, when the information defined as the attribute information of the normal mail does not match, it may be evaluated as '1' in the level values divided into 0 and 1. Through this, the inspection information of the relationship analysis index Level 3 can be obtained as '1'.
이와 같이 상기 사칭메일 보안 프로세스를 통해 관계분석지표 레벨 단위로 획득된 검사정보는 최종적으로 합산('3')되어 사칭메일 검사정보로 저장 및 관리될 수 있다. 이렇게 합산된 사칭메일 검사정보는 상기 메일보안 검사정보에 포함되어 관리될 수 있고 상기 메일 처리부(150)에서 보안위협 판별정보로 활용될 수 있다. As described above, the inspection information obtained by the relationship analysis index level unit through the impersonation mail security process may be finally summed ('3') and stored and managed as the impersonation mail inspection information. The summed up impersonation mail inspection information may be included in the mail security inspection information and managed, and may be utilized as security threat determination information in the mail processing unit 150 .
상기 보안위협 검사부(130)는 내부정보 유출 보안 위협에 대응할 수 있도록 메일반출 검사부(134)를 포함할 수 있다. 상기 메일반출 검사부(134)는 메일보안 프로세스가 메일반출 보안 프로세스인 경우, 상기 메일정보에 기반하여 사전 설정한 메일반출 관리지표와 단계별로 매칭할 수 있다.The security threat inspection unit 130 may include a mail export inspection unit 134 to respond to the security threat of leaking internal information. When the mail security process is the mail export security process, the mail export inspection unit 134 may match the mail export management index set in advance based on the mail information step by step.
상기 메일반출 검사부(134)는 상기 메일정보의 속성 정보를 활용하여 메일반출 관리지표 검사항목으로 이용할 수 있다. 또한 상기 관리지표 검사항목은 내부적으로 관리되는 사용자단말(200)의 할당 IP 정보가 이용될 수 있다.The mail export inspection unit 134 may utilize the attribute information of the mail information to be used as a mail export management index inspection item. In addition, as the management index check item, the allocated IP information of the internally managed user terminal 200 may be used.
상기 메일반출 관리지표는 단계별로 사전 설정된 검사항목과 검사를 통한 수준값이 설정될 수 있다. 본 발명의 일 실시 예에 따르면, 메일반출 관리지표는 Level 1, Level 2, Level 3, ..., Level [n]으로 세분화 및 단계화되어 구성될 수 있다.In the mail export management index, preset inspection items and level values through inspection may be set for each step. According to an embodiment of the present invention, the mail export management index may be subdivided and configured into Level 1, Level 2, Level 3, ..., Level [n].
상기 메일반출 관리지표는 발신 환경 검사를 위해 사용자단말(200)에 할당 된 IP 주소에서 허용된 IP 주소만이 메일정보를 등록할 수 있도록 통제하는 항목을 포함할 수 있다. 미인증된 사용자단말은 내부정보를 유출할 가능성이 상대적으로 높고 또한 메일을 통해 보안위협을 가할 가능성이 상대적으로 높기 때문에 이를 사전에 차단할 수 있는 관리지표를 관리할 수 있다. The mail export management index may include an item for controlling so that only IP addresses allowed from the IP addresses allocated to the user terminal 200 for sending environment inspection can register mail information. Unauthorized user terminals have a relatively high possibility of leaking internal information and a relatively high possibility of threatening security through e-mail, so it is possible to manage management indicators to block this in advance.
또한 상기 메일반출 검사부(134)는 상기 메일반출 관리지표를 IP 주소 정보, 발송 횟수 정보 등의 검사항목으로 구분하여 메일반출 관리지표로 활용할 수 있다. 또한 상기 메일반출 검사부(134)는 메일 발신 환경 검사 항목으로 승인 프로세스 등의 통제부를 추가적으로 구비하여 내부정보 유출 위협을 감소시킬 수 있다. 이를 통해 상기 메일반출 검사부(134)는 메일반출 프로세스를 통해 검사항목과 매칭하여 산출된 수준값을 메일반출 검사정보로 저장하고 관리할 수 있다.In addition, the mail export inspection unit 134 may classify the mail export management index into inspection items such as IP address information and number of times information to be used as a mail export management index. In addition, the mail export inspection unit 134 may additionally include a control unit such as an approval process as a mail sending environment inspection item to reduce the threat of internal information leakage. Through this, the mail delivery inspection unit 134 may store and manage the level value calculated by matching the check item through the mail delivery process as mail delivery inspection information.
관계분석부(140)는 상기 메일정보 및 신뢰인증로그 분석에 기초하여 획득되는 관계분석정보를 저장 및 관리할 수 있다. 상기 신뢰인증로그는 상기 레코드 관리부(170)에서 보안위협 판별정보에 따라 메일정보를 정상메일로 처리하는 경우, 수신 메일 도메인, 발신 메일 도메인, 수신 메일 주소, 발신 메일 주소, 메일 라우팅, 메일 내용 본문 정보 등을 포함하는 레코드정보를 포함할 수 있다. The relationship analysis unit 140 may store and manage the relationship analysis information obtained based on the analysis of the mail information and the trust authentication log. The trust authentication log is a received mail domain, an outgoing mail domain, an incoming mail address, an outgoing mail address, mail routing, and mail content body when the record management unit 170 processes mail information as normal mail according to the security threat determination information. It may include record information including information and the like.
메일 처리부(150)는 상기 메일보안 검사정보 및 상기 메일정보 분석을 통해 획득되는 보안위협 판별정보에 따라 메일 상태를 처리할 수 있다. The mail processing unit 150 may process the mail status according to the mail security check information and security threat determination information obtained through the mail information analysis.
상기 메일 처리부(150)는 사전 설정된 우선순위에 따른 상기 메일보안 프로세스가 수행될 수 있다. 상기 메일 처리부(150)는 상기 메일보안 프로세스를 통한 상기 보안위협 판별정보가 비정상 메일로 판별되는 경우, 후속 메일보안 프로세스 중단여부를 판단하여 메일 상태를 처리할 수 있다. 이를 통해, 상기 메일 처리부(150)는 우선순위에 따라 먼저 검사 단계에서 문제점이 발견된 경우, 그 단계에서 필요한 처리만을 수행하고 검사종료여부를 판단하여 후속 검사단계는 수행하지 않고 종료할 수 있다. 이를 통해, 메일 보안 서비스의 효율성을 확보하여 시스템의 복잡성을 낮추고 처리효율을 향상시킬 수 있다.The mail processing unit 150 may perform the mail security process according to a preset priority. When the security threat determination information through the mail security process is determined to be an abnormal mail, the mail processing unit 150 may determine whether to stop the subsequent mail security process and process the mail status. Through this, when a problem is found in the first inspection step according to the priority, the mail processing unit 150 performs only the necessary processing in that step and determines whether the inspection is finished, so that the subsequent inspection step is not performed. Through this, it is possible to secure the efficiency of the mail security service, thereby lowering the complexity of the system and improving the processing efficiency.
상기 메일보안 검사정보는 상기 보안위협 검사부(130)에서 산출된 스팸메일 검사정보와 악성코드 검사정보, 사칭메일 검사정보, 메일반출 검사정보를 종합하여 획득된 정보를 활용할 수 있다. 예를 들어, 상기 보안위협 검사부(130)가 메일정보에 대하여 프로세스수행을 통해, 상기 스팸메일 검사정보로 산출된 스코어가 '3', 악성코드 검사정보로 산출된 스코어가 '2', 사칭메일 검사정보 '1', 메일반출 검사정보로 산출된 스코어가 '0' 인 경우, 메일보안 검사정보로 합산되는 스코어는 '7'로 획득될 수 있다. 이 때, 사전 설정된 보안위협 판별정보의 기준으로 종합 스코어가 0-3의 범위일 시 정상메일, 4-6의 범위일 시 그레이메일, 7-12의 범위일 시 비정상메일로 분류될 수 있다. 이에 따라, 상기 메일보안 검사정보가 '7'인 메일은 비정상메일로 판별될 수 있다. 그리고 상기 메일정보 검사정보에 포함되는 각각의 검사정보 항목의 결과값은 항목에 따라 절대적인 우선순위가 지정되거나 가중치에 따른 정보로 우선순위가 정해질 수 있다.The mail security inspection information may utilize information obtained by synthesizing spam mail inspection information, malicious code inspection information, impersonation mail inspection information, and mail export inspection information calculated by the security threat inspection unit 130 . For example, when the security threat inspection unit 130 performs a process on the mail information, the score calculated from the spam mail inspection information is '3', the score calculated from the malicious code inspection information is '2', and the impersonated mail When the score calculated by the inspection information '1' and the mail export inspection information is '0', the score summed into the mail security inspection information may be obtained as '7'. At this time, based on the preset security threat identification information, when the overall score is in the range of 0-3, it can be classified as normal mail, when it is in the range of 4-6, it can be classified as gray mail, and when it is in the range of 7-12, it can be classified as abnormal mail. Accordingly, the mail having the mail security check information of '7' may be determined as abnormal mail. In addition, the result value of each inspection information item included in the mail information inspection information may be given an absolute priority according to the item, or may be prioritized with information according to a weight.
상기 메일 처리부(150)는 상기 보안위협 판별정보에 따라 정상메일로 판별된 메일에 대하여, 상기 사용자단말이 처리 가능한 수신 또는 발신 상태로 처리하는 메일분배 처리부(151)를 포함할 수 있다. The mail processing unit 150 may include a mail distribution processing unit 151 that processes the mail determined as normal mail according to the security threat determination information into a receiving or sending state that the user terminal can handle.
또한 상기 메일 처리부(150)는 상기 보안위협 판별정보에 따라 비정상메일로 판별된 메일에 대하여, 상기 사용자단말의 접근이 불가능한 상태로 처리하는 메일폐기 처리부(152)를 더 포함할 수 있다. In addition, the mail processing unit 150 may further include a mail disposal processing unit 152 for processing the mail determined as abnormal mail according to the security threat determination information in a state in which the user terminal cannot access it.
추가적으로 상기 메일 처리부(150)는 상기 보안위협 판별정보에 따라 그레이메일로 판별된 메일에 대하여, 상기 그레이메일을 비실행파일 콘텐츠로 변환 처리하고 상기 사용자단말이 메일 상태를 선택적으로 처리할 수 있도록 제공하는 메일 무해화 처리부(153)를 더 포함할 수 있다. Additionally, the mail processing unit 150 converts the gray mail into non-executable file contents for the mail determined as gray mail according to the security threat determination information, and provides the user terminal to selectively process the mail status It may further include a mail detoxification processing unit (153).
일반적으로 상기 그레이메일은 스팸메일 또는 정크메일로 구분될 수도 있고 반대로 정상메일로 구분될 수 있다. 본 발명에서는 상기 그레이메일은 보안위협 판별정보가 정상 또는 비정상으로 확정할 수 없는 일정 범위 내에서의 중간 값으로 산출되었을 경우 구분되는 메일 유형으로 정의할 수 있다. 상기 메일 무해화 처리부(153)는 의심되는 내용 본문 등을 포함한 그레이메일을 이미지 파일로 변환하고 사용자단말(200)이 확인 가능한 메일 상태로 제공할 수 있다. 또한 상기 메일 무해화 처리부(153)는 첨부파일 내 악성코드로 의심되는 부문을 제거 또는 수정하여 사용자단말(200)로 제공할 수 있다.In general, the gray mail may be classified into spam mail or junk mail, and conversely, may be classified as normal mail. In the present invention, the gray mail can be defined as a mail type that is distinguished when the security threat determination information is calculated as an intermediate value within a certain range that cannot be determined as normal or abnormal. The mail detoxification processing unit 153 may convert the gray mail including the body of suspicious content into an image file and provide the mail in a state that the user terminal 200 can check. In addition, the mail detoxification processing unit 153 may remove or modify a section suspected of malicious code in the attached file and provide it to the user terminal 200 .
사용자단말 통제부(160)는 상기 사용자단말(200)이 네트워크망에서 사용하는 IP address(Internet Protocol Address; IP 주소)정보가 사전 설정한 비인가 IP 주소에 해당하는 경우, 상기 메일정보의 전송을 통제할 수 있다.The user terminal control unit 160 controls the transmission of the mail information when the IP address (Internet Protocol Address) information used by the user terminal 200 in the network corresponds to a preset unauthorized IP address. can do.
레코드 관리부(170)는 상기 보안위협 판별정보에 따라 처리된 상기 메일정보를 레코드정보로 저장하고 관리할 수 있다. 상기 레코드 관리부(170)는 상기 보안위협 판별정보에 따라 정상메일로 처리되는 경우, 수신 메일 도메인, 발신 메일 도메인, 수신 메일 주소, 발신 메일 주소, 메일 라우팅, 메일 내용 본문 정보 등을 포함하는 상기 레코드정보를 신뢰인증로그로 저장하고 관리하는 관계정보 관리부(171)를 더 포함할 수 있다. 이를 통해 상기 신뢰인증로그는 수신자와 발신자 메일정보에 대하여 신뢰할 수 있는 관계정보 분석에 활용될 수 있다. 또한 상기 신뢰인증로그에 포함된 정보는 상호 간 정보 교환을 통해 지속적으로 데이터가 축적되면서 신뢰도가 보장될 수 있다.The record management unit 170 may store and manage the mail information processed according to the security threat determination information as record information. When the record management unit 170 is processed as a normal mail according to the security threat determination information, the record including a receiving mail domain, an outgoing mail domain, a receiving mail address, an outgoing mail address, mail routing, mail content body information, etc. It may further include a relationship information management unit 171 that stores and manages the information as a trust authentication log. Through this, the trust authentication log can be utilized for reliable relationship information analysis with respect to the recipient and sender mail information. In addition, the reliability of the information included in the trust authentication log can be guaranteed as data is continuously accumulated through mutual information exchange.
또한 상기 레코드 관리부(170)는 상기 보안위협 판별정보에 따라 비정상메일로 처리되는 경우, 수신 메일 도메인, 발신 메일 도메인, 수신 메일 주소, 발신 메일 주소, 메일 라우팅, 메일 내용 본문 정보 등을 포함하는 상기 레코드정보를 메일보안 프로세스 수행 시 비정상 메일 판단 지표로 활용될 수 있다.In addition, when the records management unit 170 is processed as an abnormal mail according to the security threat determination information, the received mail domain, the outgoing mail domain, the received mail address, the outgoing mail address, mail routing, mail content body information, etc. Record information can be used as an indicator for determining abnormal mail when performing the mail security process.
취약점 테스트부(180)는 상기 보안위협 판별정보에 따라 비정상메일로 판별된 메일에 대하여, 상기 비정상메일을 비실행파일 콘텐츠로 변환시켜 상기 사용자단말에서 수신 또는 발신 처리가 될 수 있도록 제공할 수 있다. 상기 취약점 테스트부(180)는 상기 비정상메일에 대하여 수신 또는 발신 처리한 상기 사용자단말의 식별정보를 획득하여 유형별 취약정보로 저장 및 관리하는 취약정보 관리부(181)를 포함할 수 있다. Vulnerability test unit 180 converts the abnormal mail into non-executable file contents for mail determined as abnormal mail according to the security threat determination information so that it can be received or sent from the user terminal. . The vulnerability test unit 180 may include a vulnerability information management unit 181 that acquires the identification information of the user terminal that has been received or sent with respect to the abnormal mail, stores and manages it as vulnerability information for each type.
도 4는 본 발명의 일 실시 예에 따른 메일 보안 서비스 제공 장치의 동작 방법을 설명하기 위한 흐름도이다.4 is a flowchart illustrating a method of operating an apparatus for providing a mail security service according to an embodiment of the present invention.
도 4를 참조하면, 메일 보안 서비스 제공 장치의 동작 방법에 있어서, 수집단계(S101)는 하나 이상의 사용자단말(200) 간 송수신되는 메일정보를 수집할 수 있다.Referring to FIG. 4 , in the method of operating the apparatus for providing a mail security service, in the collecting step S101 , mail information transmitted and received between one or more user terminals 200 may be collected.
보안위협 검사단계(S103)는 사전 설정된 보안위협 아키텍처에 따라, 상기 메일정보에 대응하는 메일보안 프로세스의 단계별 매칭을 처리할 수 있다. 이 후, 상기 보안위협 검사단계(S103)는 상기 매칭 처리된 메일보안 프로세스에 의해 상기 메일정보를 검사할 수 있다. 이를 통해 상기 보안위협 검사단계(S103)는 상기 검사결과에 따른 메일보안 검사정보를 저장 및 관리할 수 있다.The security threat check step S103 may process step-by-step matching of a mail security process corresponding to the mail information according to a preset security threat architecture. Thereafter, in the security threat checking step ( S103 ), the mail information may be checked by the matching-processed mail security process. Through this, the security threat inspection step (S103) may store and manage mail security inspection information according to the inspection result.
상기 메일보안 프로세스는 상기 보안위협 아키텍처에 따라 수신메일인지 발신메일인지에 대응하는 서로 다른 메일보안 프로세스가 결정될 수 있다. 또한 상기 메일보안 프로세스의 검사 순서 또는 검사 레벨은 사전 설정한 보안 단계 및 아키텍처에 의해 결정될 수 있다.In the mail security process, different mail security processes corresponding to incoming mail or outgoing mail may be determined according to the security threat architecture. In addition, the inspection order or inspection level of the mail security process may be determined by a preset security level and architecture.
메일 처리단계(S105)는 상기 메일보안 검사정보 및 상기 메일정보 분석을 통해 획득되는 보안위협 판별정보에 따라 메일 상태를 처리할 수 있다.In the mail processing step (S105), the mail status may be processed according to the mail security check information and security threat determination information obtained through the mail information analysis.
상기 메일 처리단계(S105)는 사전 설정된 우선순위에 따른 상기 메일보안 프로세스가 수행될 수 있다. 상기 메일 처리단계(S105)는 상기 메일보안 프로세스를 통한 상기 보안위협 판별정보가 비정상 메일로 판별되는 경우, 후속 메일보안 프로세스 중단여부를 판단하여 메일 상태를 처리할 수 있다. 이를 통해, 상기 메일 처리단계(S105)는 우선순위에 따라 먼저 검사 단계에서 문제점이 발견된 경우 그 단계에서 필요한 처리만을 수행하고 검사종료여부를 판단하여 후속 검사단계는 수행하지 않고 종료할 수 있다. 이를 통해 메일 보안 서비스의 효율성을 확보하여 시스템의 복잡성을 낮추고 처리효율을 향상시킬 수 있다.In the mail processing step (S105), the mail security process according to a preset priority may be performed. In the mail processing step (S105), when the security threat determination information through the mail security process is determined to be an abnormal mail, it is possible to determine whether to stop the subsequent mail security process and process the mail status. Through this, in the mail processing step (S105), if a problem is found in the first inspection step according to the priority, only the necessary processing is performed in that step, and it is determined whether the inspection is finished, and the subsequent inspection step is not performed. Through this, it is possible to secure the efficiency of the mail security service, thereby lowering the complexity of the system and improving the processing efficiency.
레코드 관리단계(S107)는 상기 보안위협 판별정보에 따라 처리된 상기 메일정보를 레코드정보로 저장하고 관리할 수 있다. 상기 레코드 관리단계(S107)는 상기 보안위협 판별정보에 따라 정상메일로 처리되는 경우, 수신 메일 도메인, 발신 메일 도메인, 수신 메일 주소, 발신 메일 주소, 메일 라우팅 정보, 메일 내용 본문 등을 포함하는 상기 레코드정보를 신뢰인증로그로 저장하고 관리하는 관계정보 관리단계를 더 포함할 수 있다.In the record management step (S107), the mail information processed according to the security threat determination information may be stored and managed as record information. In the record management step (S107), when normal mail is processed according to the security threat determination information, the received mail domain, the outgoing mail domain, the received mail address, the outgoing mail address, mail routing information, the mail content body, etc. are included. It may further include a relationship information management step of storing and managing the record information as a trust authentication log.
관계분석단계(도면미도시)는 상기 메일정보 및 상기 신뢰인증로그 분석에 기초하여 획득되는 관계분석정보를 저장 및 관리할 수 있다.The relation analysis step (not shown) may store and manage relation analysis information obtained based on the analysis of the mail information and the trust authentication log.
상기 보안위협 검사단계(S103)는 상기 메일보안 프로세스가 스팸메일 보안 프로세스인 경우, 이메일 헤더 정보, 이메일 제목, 이메일 내용 본문, 일정 기간 수신 횟수 중 하나 이상을 포함하는 상기 메일정보를 사전 설정한 스팸지표와 단계별로 매칭하는 스팸메일 검사단계를 더 포함할 수 있다. 추가적으로 상기 보안위협 검사단계(S103)는 상기 메일보안 프로세스가 악성코드 보안 프로세스인 경우, 첨부파일의 확장자, 첨부파일의 해시정보, 첨부파일명, 첨부파일 내용 본문, URL(Uniform Resource Locator) 정보 중 하나 이상을 포함하는 상기 메일정보를 사전 설정한 악성코드지표와 단계별로 매칭하는 악성코드 검사단계를 더 포함할 수 있다. 또한 상기 보안위협 검사단계(S103)는 상기 메일보안 프로세스가 사칭메일 보안 프로세스인 경우, 상기 관계분석정보에 대하여 사전 설정한 관계분석지표와 단계별로 매칭하는 사칭메일 검사단계를 더 포함할 수 있다. 그리고 상기 보안위협 검사단계(S103)는 상기 메일보안 프로세스가 메일반출 보안 프로세스인 경우, 상기 메일정보에 기반하여 사전 설정한 메일반출 관리지표와 단계별로 매칭하는 메일반출 검사단계를 더 포함할 수 있다.In the security threat inspection step (S103), when the mail security process is a spam mail security process, the e-mail information including one or more of e-mail header information, e-mail subject, e-mail content body, and the number of times received for a certain period is set in advance. It may further include a spam check step matching the indicator and step-by-step. Additionally, in the security threat checking step (S103), if the mail security process is a malicious code security process, one of the attachment file extension, attachment file hash information, attachment file name, attachment file content body, and URL (Uniform Resource Locator) information The method may further include a malicious code checking step of matching the mail information including the above with a preset malicious code index step by step. In addition, the security threat checking step ( S103 ) may further include an impersonated mail checking step of matching step-by-step with a relationship analysis index preset with respect to the relationship analysis information when the mail security process is an impersonated mail security process. In addition, the security threat checking step (S103) may further include, when the mail security process is a mail export security process, matching the mail export management index set in advance based on the mail information step-by-step. .
상기 메일 처리단계(S105)는 상기 보안위협 판별정보에 따라 정상메일로 판별된 메일에 대하여, 상기 사용자단말이 처리 가능한 수신 또는 발신 상태로 처리하는 메일분배 처리단계를 더 포함할 수 있다. 또한 상기 메일 처리단계(S105)는 상기 보안위협 판별정보에 따라 비정상메일로 판별된 메일에 대하여, 상기 사용자단말의 접근이 불가능한 상태로 처리하는 메일폐기 처리단계를 더 포함할 수 있다.The mail processing step (S105) may further include a mail distribution processing step of processing the mail determined as normal mail according to the security threat determination information to a reception or transmission state that the user terminal can handle. In addition, the mail processing step (S105) may further include a mail disposal processing step of processing the mail determined as abnormal mail according to the security threat determination information in a state in which the user terminal cannot access it.
추가적으로 상기 메일 처리단계(S105)는 상기 보안위협 판별정보에 따라 그레이메일로 판별된 메일에 대하여, 상기 그레이메일을 비실행파일 콘텐츠로 변환 처리하고 상기 사용자단말이 메일 상태를 선택적으로 처리할 수 있도록 제공하는 메일 무해화 처리단계를 더 포함할 수 있다.Additionally, in the mail processing step (S105), the gray mail is converted into non-executable file contents for the mail determined as gray mail according to the security threat determination information, and the user terminal can selectively process the mail status. It may further include a mail detoxification processing step to provide.
취약점 테스트단계(도면 미도시)는 상기 보안위협 판별정보에 따라 비정상메일로 판별된 메일에 대하여, 상기 비정상메일을 비실행파일 콘텐츠로 변환시켜 상기 사용자단말에서 수신 또는 발신 처리가 될 수 있도록 제공할 수 있다. 상기 취약점 테스트단계는 상기 비정상메일에 대하여 수신 또는 발신 처리한 상기 사용자단말의 식별정보를 획득하여 유형별 취약정보로 저장 및 관리하는 취약정보 관리단계를 더 포함할 수 있다.Vulnerability testing step (not shown) converts the abnormal mail into non-executable file contents for mail determined as abnormal mail according to the security threat determination information so that it can be received or sent from the user terminal. can The vulnerability testing step may further include a vulnerability information management step of acquiring identification information of the user terminal that has been received or transmitted with respect to the abnormal mail, and storing and managing it as vulnerability information for each type.
도 5는 본 발명의 일 실시 예에 따른 메일 보안 서비스의 아키텍처에 따른 검사 방식을 설명하기 위한 예시도이다.5 is an exemplary diagram for explaining a checking method according to an architecture of a mail security service according to an embodiment of the present invention.
도 5를 참조하면, 메일 보안 서비스를 제공하기 위한 아키텍처로써, 이에 따라 보안위협의 유형과 레벨, 프로세스, 우선순위, 처리순서 등이 설정될 수 있다. 상기 메일 보안 서비스의 아키텍처는 수신메일, 발신메일, 내부메일, 사용자 교육 등의 최상위 카테고리로 구분되어 각 카테고리마다 하부 구조로 계층적, 단계적인 구성과 처리 방식이 적용될 수 있다. 상기 최상위 카테고리는 메일정보에 포함되는 속성 값 또는 사용자단말(200)의 메일 이용 목적에 따라 접속하는 시스템의 구분에 따라 분류될 수 있다.Referring to FIG. 5 , as an architecture for providing a mail security service, types and levels of security threats, processes, priorities, processing orders, etc. may be set accordingly. The architecture of the mail security service is divided into top categories such as incoming mail, outgoing mail, internal mail, and user education, and hierarchical and stepwise configuration and processing methods can be applied as a substructure for each category. The uppermost category may be classified according to the classification of the accessing system according to the attribute value included in the mail information or the purpose of using the mail of the user terminal 200 .
각각의 보안위협 유형 내에는 하나 이상의 특정 메일보안 프로세스가 할당될 수 있고 이는 레벨로 구분되어 단계적이고 순차적으로 실행될 수 있다. 세부적으로, 보안위협 유형은 SPAM, Malicious code(Attachment), Malicious code(URL), Social Engineering Attack 등의 보안위협 유형으로 구분될 수 있다. 이에 따른, 보안위협 유형의 검사 프로세스가 순차적으로 이행될 수 있다. 또한 각각의 상기 보안위협 유형 내에서는 레벨 1, 2, 3, ...[n] 단계로 구분되어 순차적으로 이행될 수 있다. 이 때 각 레벨은 검사하는 특정 항목과 지표가 할당되어 검사 결과를 획득할 수 있다. Within each security threat type, one or more specific mail security processes can be assigned, which can be divided into levels and executed in stages and sequentially. In detail, security threat types can be classified into security threat types such as SPAM, Malicious code (Attachment), Malicious code (URL), and Social Engineering Attack. Accordingly, the security threat type inspection process may be sequentially implemented. In addition, within each of the above security threat types, it may be divided into levels 1, 2, 3, ... [n] and sequentially implemented. At this time, each level is assigned a specific item to be inspected and an indicator, so that an inspection result can be obtained.
또한 아키텍처 설정에 따라 각각의 보안위협 유형 내 메일보안 프로세스는 할당 된 검사 영역을 병렬적으로 병행 검사 처리하는 방식으로도 수행될 수 있다. Also, depending on the architecture setting, the mail security process within each security threat type can also be performed in parallel with the assigned scan area.
최상위 카테고리 중 하나인 상기 수신메일은 하위 계층으로 보안위협 유형이 구분될 수 있다. 세부적으로, 상기 보안위협 유형은 SPAM 처리, 악성코드 처리, 사회공학적 처리 등으로 구분될 수 있다. The received mail, which is one of the top categories, may be classified into a security threat type as a lower layer. In detail, the security threat types may be classified into SPAM processing, malicious code processing, social engineering processing, and the like.
수신메일의 보안위협 검사를 위해 SPAM 처리 부문 내 레벨 1(Lv.1)은 평판 기반으로의 스팸메일 여부를 검사할 수 있다. 이 후, 평판 기반의 스팸메일 검사에서 발견된 문제점이 없는 경우 레벨 2(Lv.2)은 사용자 지정 키워드에 근거하여 필터링을 통한 스팸메일 여부를 검사할 수 있다. Level 1 (Lv.1) in the SPAM processing section can check whether or not spam emails are based on reputation for security threat inspection of incoming emails. After that, if there are no problems found in the reputation-based spam inspection, level 2 (Lv.
레벨 2의 수행이 완료된 후, 다음 단계인 레벨 3(Lv.3)은 이미지 기반의 내용 분석을 통한 스팸메일 여부를 검사할 수 있다. 이와 같이, 메일보안 서비스 아키텍처는 SPAM 처리 유형 내에서의 특정 스팸필터링 프로세스를 통해 레벨별 검증을 수행하고, 상기 검증이 완료될 시 다음 레벨로 이행될 수 있도록 한다. 그리고 상기 메일보안 서비스 아키텍처는 SPAM 처리를 통한 메일의 스팸여부 검사를 완료한 후, 메일 내 악성코드 포함 여부를 판별하는 악성코드 처리 단계로 이행될 수 있다. After the execution of level 2 is completed, the next step, level 3 (Lv.3), can check whether there is spam mail through image-based content analysis. In this way, the mail security service architecture performs level-by-level verification through a specific spam filtering process within the SPAM processing type, and when the verification is completed, it enables transition to the next level. In addition, the mail security service architecture may proceed to the malicious code processing step of determining whether or not malicious code is included in the mail after completing the spam check of the mail through SPAM processing.
상기 악성코드 처리는 레벨 1의 평판 기반 악성코드 포함 여부를 판별할 수 있고, 정상 확인 시 다음 단계로 이행될 수 있다. 레벨 n(Lv.n)은 악성코드가 포함될 수 있는 가능성이 있는 첨부파일로 판별 시, 첨부 파일 내 포함된 실행 코드를 변형하는 무해화 처리를 통해 악성코드 처리 단계를 종료할 수 있다. 상기 악성코드 처리 검사가 완료되는 경우, 검사 단계는 사회공학적 처리 검사 단계로 이행될 수 있다. 상기 사회공학적 처리 검사 단계는 레벨 1(Lv.1)의 메타데이터 기반, 레벨 n(Lv.n)의 관계 분석 기반의 사회공학적 공격 메일 검사 프로세스를 실행한 후, 검사 결과 정보에 따라 대응을 처리 또는 요청할 수 있다.The malicious code processing can determine whether level 1 reputation-based malicious code is included, and when normalization is confirmed, the next step can be performed. When the level n (Lv.n) is determined as an attachment that may contain malicious code, the malicious code processing step can be terminated through detoxification processing that transforms the executable code included in the attached file. When the malicious code processing inspection is completed, the inspection step may be transferred to a social engineering processing inspection step. The social engineering processing inspection step executes the social engineering attack mail inspection process based on level 1 (Lv.1) metadata and level n (Lv.n) relationship analysis, and then processes the response according to the inspection result information Or you can request it.
최상위 카테고리 중 하나인 상기 발신메일은 하위 계층으로 보안위협 유형이 구분될 수 있다. 상기 발신메일의 카테고리 또한 수신메일의 보안위협 유형과 같이 SPAM 처리, 악성코드 처리, 사회공학적 처리 단계로 구분되고 검사가 수행 될 수 있다.The outgoing mail, which is one of the top categories, may be classified into a security threat type as a lower layer. The category of outgoing mail is also divided into SPAM processing, malicious code processing, and social engineering processing steps like the security threat type of incoming mail, and inspection can be performed.
특히 발신메일의 보안위협 검사는 발신 환경 검사 단계를 포함할 수 있다. 상기 발신 환경 검사 단계는 메일 발신을 목적으로 하나 이상의 사용자단말(200)이 시스템에 접속할 시, 사전에 등록된 화이트리스트에 따른 IP 주소 허용 사용자단말인지를 검증하는 레벨 1(Lv.1) 단계를 수행할 수 있다. 상기 레벨 1 단계 검증을 통해 인증이 된 사용자단말(200)은 메일 발송 횟수에 대하여 일정 기준 횟수 이내로 부합할 시, 정상 메일로 판별하고 다음 단계로 이행될 수 있다. 이 후, 레벨 n(Lv.n) 단계는 발신메일 내용을 사전에 검사하여 이상 여부를 판별하는 프로세스가 실행되어 정상 메일 여부를 검증할 수 있다.In particular, the security threat inspection of outgoing mail may include a sending environment inspection step. In the sending environment inspection step, when one or more user terminals 200 access the system for the purpose of sending mail, a level 1 (Lv. can be done When the user terminal 200 authenticated through the level 1 step verification meets within a predetermined reference number with respect to the number of mail transmissions, it may be determined as a normal mail and proceed to the next step. After that, in the level n (Lv.n) step, a process of determining whether or not there is an abnormality by pre-examining the contents of the outgoing mail may be executed to verify whether the mail is normal.
최상위 카테고리 중 하나인 상기 내부메일은 하위 계층으로 내부 정보 유출을 방지할 수 있는 내부 메일 관리 단계가 수행될 수 있다. 상기 내부 메일 관리 단계는 레벨 1(Lv.1)의 승인 프로세스를 통해 이상 메일을 검사할 수 있다. 상기 승인 프로세스는 내부정보가 포함된 메일에 대한 정보 유출 위험도를 판단할 수 있다. The internal mail, which is one of the top categories, may be subjected to an internal mail management step capable of preventing internal information leakage to a lower layer. The internal mail management step may check for abnormal mail through the level 1 (Lv.1) approval process. The approval process may determine the risk of information leakage with respect to the mail including internal information.
상기 승인프로세스는 메일 관리 시스템에 의해 순차적으로 승인 처리되어 외부로 보내지는 메일 내용에 대하여 사전 검열되는 방식으로 수행될 수 있다. 이 후, 레벨 2(Lv.2) 단계로 DLP(Data Loss Prevention; 데이터 유출 방지) 및 DRM(Digital Rights Management: 디지털 저작권 관리) 통제 프로세스가 수행되어 내부 정보 유출 여부를 검사할 수 있다. 상기 DLP 통제 프로세스는 승인 등의 허가 없이 정책에 위반되는 시스템에 접근하여 정보를 전송하려는 행위를 감지 및 통제할 수 있다. 상기 DRM 통제 프로세스는 암호화된 내부 문서가 승인 등의 허가 없이 복호화 되거나 복호화 된 파일을 메일에 첨부하는 시도를 탐지하여 통제할 수 있다. 이 후, 레벨 n(Lv.n) 단계는 메일을 발신하고자 할 때, 사용자단말(200) 인증 처리단계로 1단계, 2단계 등의 다단계 인증 프로세스를 제공할 수 있다. 이를 통해, 계정 탈취나 도용을 시도하는 사용자를 차단함으로써 정상적인 메일 처리를 보장할 수 있다.The approval process may be performed in such a way that the mail contents sequentially approved by the mail management system and sent to the outside are pre-censored. Thereafter, the DLP (Data Loss Prevention) and DRM (Digital Rights Management) control process is performed as a level 2 (Lv.2) step to check whether internal information is leaked. The DLP control process can detect and control an action that attempts to transmit information by accessing a system that violates the policy without permission such as approval. The DRM control process can detect and control an attempt to attach an encrypted internal document to an e-mail or a decrypted file without permission such as approval. Thereafter, in the level n (Lv.n) step, when a mail is to be transmitted, a multi-step authentication process such as step 1 or step 2 may be provided as an authentication processing step of the user terminal 200 . Through this, normal mail processing can be ensured by blocking users who attempt to steal or steal accounts.
최상위 카테고리 중 하나인 상기 사용자 교육은 하위 계층으로 모의피싱과 피드백 시스템의 단계를 포함할 수 있다. 상기 모의피싱 단계에서는 보안위협이 포함된 메일을 사용한 이력이 있는 사용자단말(200)의 식별값과 횟수 등의 정보를 저장 및 관리할 수 있다. 상기 보안위협은 실제 시스템이나 콘텐츠에 무해한 방식으로 구성된 메일이 사용될 수 있다. 이를 통해 피드백 시스템은 모의피싱을 통해 산출된 통계값이나 위협정도를 분석한 결과값을 제공할 수 있다.The user education, which is one of the top categories, may include a stage of mock phishing and a feedback system as a lower layer. In the mock phishing step, it is possible to store and manage information such as the identification value and number of times of the user terminal 200 having a history of using a mail containing a security threat. As the security threat, mail configured in a way that is harmless to an actual system or content may be used. Through this, the feedback system can provide statistical values calculated through simulated phishing or the results of analyzing the threat level.
상기 카테고리별로 구성된 보안위협 검사는 아키텍처 및 보안 단계에 의해 결정될 수 있다. 이에 따라 검사 순서 및 검사 레벨이 결정될 수 있고 순차적인 검사에 따라 이상 여부를 확인할 수 있다. 또한 상기 검사 순서 및 검사 레벨의 우선순위는 아키텍처 및 보안 단계에 따라 설정될 수 있다. 상기 우선순위에 따라 수행된 프로세스는 획득되는 검사 결과에 따라 문제점이 발견되는 경우, 그 단계에서 필요한 처리를 수행하고 검사 종료 여부를 판단할 수 있다. 상기 문제점은 스팸메일로 판별되거나 악성코드가 포함된 메일로 판별될 시, 메일을 사용자단말(200)에서 확인할 수 없도록 폐기 처리하거나 반송 등의 처리로 해결될 수 있다. 이렇게 특정 단계에서의 검사 프로세스를 통해 메일의 문제점을 처리하는 경우, 후속 검사단계는 또는 병렬처리 중인 나머지 검사단계는 수행되지 않고 종료될 수 있다. The security threat check configured for each category may be determined by architecture and security level. Accordingly, an inspection order and an inspection level may be determined, and an abnormality may be checked according to the sequential inspection. In addition, the priority of the inspection order and inspection level may be set according to the architecture and security level. In the process performed according to the priority, when a problem is found according to the obtained inspection result, necessary processing may be performed at that stage and it may be determined whether the inspection is terminated. The above problem can be solved by processing such as discarding or returning the mail so that it cannot be checked in the user terminal 200 when it is determined as spam mail or mail containing malicious code. In this way, when mail problems are handled through the inspection process at a specific stage, the subsequent inspection stage or the remaining inspection stages in parallel processing may be terminated without being performed.
상술한 본 발명에 따른 방법은 컴퓨터에서 실행되기 위한 프로그램으로 제작되어 컴퓨터가 읽을 수 있는 기록 매체에 저장될 수 있으며, 컴퓨터가 읽을 수 있는 기록 매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 플로피디스크, 광 데이터 저장장치 등이 있으며, 또한 캐리어 웨이브(예를 들어 인터넷을 통한 전송)의 형태로 구현되는 것도 포함한다.The method according to the present invention described above may be produced as a program to be executed by a computer and stored in a computer-readable recording medium. Examples of the computer-readable recording medium include ROM, RAM, CD-ROM, magnetic tape. , a floppy disk, an optical data storage device, and the like, and also includes those implemented in the form of a carrier wave (eg, transmission through the Internet).
컴퓨터가 읽을 수 있는 기록 매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어, 분산방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다. 그리고, 상기 방법을 구현하기 위한 기능적인(function) 프로그램, 코드 및 코드 세그먼트들은 본 발명이 속하는 기술분야의 프로그래머들에 의해 용이하게 추론될 수 있다.The computer-readable recording medium is distributed in a network-connected computer system, so that the computer-readable code can be stored and executed in a distributed manner. In addition, functional programs, codes, and code segments for implementing the method can be easily inferred by programmers in the art to which the present invention pertains.
또한, 이상에서는 본 발명의 바람직한 실시 예에 대하여 도시하고 설명하였지만, 본 발명은 상술한 특정의 실시 예에 한정되지 아니하며, 청구범위에서 청구하는 본 발명의 요지를 벗어남이 없이 당해 발명이 속하는 기술분야에서 통상의 지식을 가진 자에 의해 다양한 변형 실시가 가능한 것은 물론이고, 이러한 변형 실시들은 본 발명의 기술적 사상이나 전망으로부터 개별적으로 이해되어서는 안될 것이다.In addition, although preferred embodiments of the present invention have been illustrated and described above, the present invention is not limited to the specific embodiments described above, and the technical field to which the present invention pertains without departing from the gist of the present invention as claimed in the claims Various modifications are possible by those of ordinary skill in the art, and these modifications should not be individually understood from the technical spirit or perspective of the present invention.
Claims (20)
- 서비스 제공 장치에 있어서,In the service providing device,하나 이상의 사용자단말 간 송수신되는 메일정보를 수집하는 수집부;a collection unit for collecting mail information transmitted and received between one or more user terminals;사전 설정된 보안위협 아키텍처에 따라, 상기 메일정보에 대응하는 메일보안 프로세스의 단계별 매칭을 처리하고, 상기 매칭 처리된 메일보안 프로세스에 의해 상기 메일정보를 검사하며, 상기 검사결과에 따른 메일보안 검사정보를 저장 및 관리하는 보안위협 검사부;According to a preset security threat architecture, matching step-by-step of the mail security process corresponding to the mail information is processed, the mail information is checked by the matching-processed mail security process, and mail security inspection information according to the inspection result is obtained. a security threat inspection unit that stores and manages;상기 메일보안 검사정보 및 상기 메일정보 분석을 통해 획득되는 보안위협 판별정보에 따라 메일 상태를 처리하는 메일 처리부; 및a mail processing unit for processing the mail status according to the mail security check information and security threat determination information obtained through the mail information analysis; and상기 보안위협 판별정보에 따라 처리된 상기 메일정보를 레코드정보로 저장하고 관리하는 레코드 관리부;를 포함하는A record management unit for storing and managing the mail information processed according to the security threat determination information as record information;서비스 제공 장치.Service providing device.
- 제 1항에 있어서,The method of claim 1,상기 레코드 관리부는,The records management unit,상기 보안위협 판별정보에 따라 정상메일로 처리되는 경우, 수신 메일 도메인, 발신 메일 도메인, 수신 메일 주소, 발신 메일 주소, 메일 라우팅, 메일 내용 본문 정보 중 하나 이상을 포함하는 상기 레코드정보를 신뢰인증로그로 저장하고 관리하는 관계정보 관리부;를 더 포함하는 When processed as normal mail according to the security threat determination information, the record information including at least one of a receiving mail domain, an outgoing mail domain, an incoming mail address, an outgoing mail address, mail routing, and mail content body information is trusted authentication log Relational information management unit to store and manage as; further comprising서비스 제공 장치.Service providing device.
- 제 2항에 있어서,3. The method of claim 2,상기 메일정보 및 상기 신뢰인증로그 분석에 기초하여 획득되는 관계분석정보를 저장 및 관리하는 관계분석부;를 더 포함하는 A relationship analysis unit for storing and managing the relationship analysis information obtained based on the analysis of the mail information and the trust authentication log; further comprising서비스 제공 장치.Service providing device.
- 제 3항에 있어서,4. The method of claim 3,상기 보안위협 검사부는,The security threat inspection unit,상기 메일보안 프로세스가 스팸메일 보안 프로세스인 경우, 이메일 헤더 정보, 이메일 제목, 이메일 내용 본문, 일정 기간 수신 횟수 중 하나 이상을 포함하는 상기 메일정보를 사전 설정한 스팸지표와 단계별로 매칭하는 스팸메일 검사부;를 포함하는 When the mail security process is a spam mail security process, a spam mail inspection unit that matches the mail information including one or more of email header information, email subject, email content body, and the number of times received for a certain period with a preset spam index step by step including;서비스 제공 장치.Service providing device.
- 제 4항에 있어서,5. The method of claim 4,상기 보안위협 검사부는,The security threat inspection unit,상기 메일보안 프로세스가 악성코드 보안 프로세스인 경우, 첨부파일의 확장자, 첨부파일의 해시정보, 첨부파일명, 첨부파일 내용 본문, URL(Uniform Resource Locator) 정보 중 하나 이상을 더 포함하는 상기 메일정보를 사전 설정한 악성코드지표와 단계별로 매칭하는 악성코드 검사부;를 더 포함하는When the mail security process is a malicious code security process, the mail information further including one or more of an attachment file extension, attachment file hash information, attachment file name, attachment file content body, and URL (Uniform Resource Locator) information is obtained in advance. A malicious code inspection unit that matches the set malicious code index step by step; further comprising서비스 제공 장치.Service providing device.
- 제 5항에 있어서,6. The method of claim 5,상기 보안위협 검사부는,The security threat inspection unit,상기 메일보안 프로세스가 사칭메일 보안 프로세스인 경우, 상기 관계분석정보에 대하여 사전 설정한 관계분석지표와 단계별로 매칭하는 사칭메일 검사부;를 더 포함하는When the mail security process is an impersonated mail security process, an impersonated mail inspection unit that matches step-by-step with a relationship analysis index preset for the relationship analysis information; further comprising서비스 제공 장치.Service providing device.
- 제 6항에 있어서,7. The method of claim 6,상기 보안위협 검사부는,The security threat inspection unit,상기 메일보안 프로세스가 메일반출 보안 프로세스인 경우, 상기 메일정보에 기반하여 사전 설정한 메일반출 관리지표와 단계별로 매칭하는 메일반출 검사부;를 더 포함하는When the mail security process is a mail export security process, a mail export inspection unit that matches step-by-step with a mail export management index set in advance based on the mail information; further comprising서비스 제공 장치.Service providing device.
- 제 1항에 있어서,The method of claim 1,상기 메일 처리부는,The mail processing unit,상기 보안위협 판별정보에 따라 정상메일로 판별된 메일에 대하여, 상기 사용자단말이 처리 가능한 수신 또는 발신 상태로 처리하는 메일분배 처리부; 및a mail distribution processing unit that processes the mail determined as normal mail according to the security threat determination information into a receiving or sending state that can be processed by the user terminal; and상기 보안위협 판별정보에 따라 비정상메일로 판별된 메일에 대하여, 상기 사용자단말의 접근이 불가능한 상태로 처리하는 메일폐기 처리부;를 포함하는Including a;서비스 제공 장치.Service providing device.
- 제 8항에 있어서,9. The method of claim 8,상기 메일 처리부는,The mail processing unit,상기 보안위협 판별정보에 따라 그레이메일로 판별된 메일에 대하여, 상기 그레이메일을 비실행파일 콘텐츠로 변환 처리하고 상기 사용자단말이 메일 상태를 선택적으로 처리할 수 있도록 제공하는 메일 무해화 처리부;를 더 포함하는With respect to the mail determined to be gray mail according to the security threat determination information, the gray mail is converted into non-executable file contents, and a mail detoxification processing unit that provides the user terminal to selectively process the mail status; containing서비스 제공 장치.Service providing device.
- 제 1항에 있어서, The method of claim 1,상기 보안위협 판별정보에 따라 비정상메일로 판별된 메일에 대하여, 상기 비정상메일을 비실행파일 콘텐츠로 변환시켜 상기 사용자단말에서 수신 또는 발신 처리가 될 수 있도록 제공하는 취약점 테스트부;를 더 포함하는A vulnerability testing unit that converts the abnormal mail into non-executable file contents for mail determined as abnormal mail according to the security threat determination information so that it can be received or sent from the user terminal; further comprising a서비스 제공 장치.Service providing device.
- 제 10항에 있어서,11. The method of claim 10,상기 취약점 테스트부는,The vulnerability testing unit,상기 비정상메일에 대하여 수신 또는 발신 처리한 상기 사용자단말의 식별정보를 획득하여 유형별 취약정보로 저장 및 관리하는 취약정보 관리부;를 포함하는A vulnerability information management unit that acquires the identification information of the user terminal, which has been received or sent with respect to the abnormal mail, and stores and manages it as vulnerability information by type; including a서비스 제공 장치.Service providing device.
- 제 4항에 있어서,5. The method of claim 4,상기 이메일 헤더 정보는 메일 발신 서버 IP 주소, 메일 발신 서버 호스트 이름 정보, 발신자 메일 도메인 정보, 발신자 메일 주소, 메일 수신 서버 IP 주소, 메일 수신 서버 호스트 이름 정보, 수신자 메일 도메인 정보, 수신자 메일 주소, 메일 프로토콜 정보, 메일 수신 시간 정보, 메일 발신 시간 정보 중 하나 이상을 포함하는The email header information includes mail sending server IP address, mail sending server host name information, sender mail domain information, sender mail address, mail receiving server IP address, mail receiving server host name information, recipient mail domain information, recipient mail address, mail protocol information, mail reception time information, and mail sending time information서비스 제공 장치.Service providing device.
- 제 1항에 있어서,The method of claim 1,상기 메일보안 프로세스는 상기 보안위협 아키텍처에 따라 수신메일인지 발신메일인지에 대응하는 서로 다른 메일보안 프로세스가 결정되고,In the mail security process, different mail security processes corresponding to incoming mail or outgoing mail are determined according to the security threat architecture,상기 메일보안 프로세스의 검사 순서 또는 검사 레벨은 사전 설정한 보안 단계 및 아키텍처에 의해 결정되는The inspection order or inspection level of the mail security process is determined by a preset security level and architecture.서비스 제공 장치.Service providing device.
- 제 1항에 있어서,The method of claim 1,상기 메일 처리부는,The mail processing unit,사전 설정된 우선순위에 따른 상기 메일보안 프로세스를 통해 획득되는 상기 보안위협 판별정보가 비정상 메일로 판별되는 경우, 후속 메일보안 프로세스 중단여부를 판단하여 메일 상태를 처리하는When the security threat determination information obtained through the mail security process according to the preset priority is determined to be an abnormal mail, it is determined whether the subsequent mail security process is stopped and the mail status is processed.서비스 제공 장치.Service providing device.
- 서비스 제공 장치의 동작 방법에 있어서,In the method of operating a service providing device,하나 이상의 사용자단말 간 송수신되는 메일정보를 수집하는 수집단계;a collection step of collecting mail information transmitted and received between one or more user terminals;사전 설정된 보안위협 아키텍처에 따라, 상기 메일정보에 대응하는 메일보안 프로세스의 단계별 매칭을 처리하고, 상기 매칭 처리된 메일보안 프로세스에 의해 상기 메일정보를 검사하며, 상기 검사결과에 따른 메일보안 검사정보를 저장 및 관리하는 보안위협 검사단계;According to a preset security threat architecture, matching step-by-step of the mail security process corresponding to the mail information is processed, the mail information is checked by the matching-processed mail security process, and mail security inspection information according to the inspection result is obtained. a security threat inspection step of storing and managing;상기 메일보안 검사정보 및 상기 메일정보 분석을 통해 획득되는 보안위협 판별정보에 따라 메일 상태를 처리하는 메일 처리단계; 및a mail processing step of processing the mail status according to the mail security check information and security threat determination information obtained through the mail information analysis; and상기 보안위협 판별정보에 따라 처리된 상기 메일정보를 레코드정보로 저장하고 관리하는 레코드 관리단계;를 포함하는A record management step of storing and managing the mail information processed according to the security threat determination information as record information; including a서비스 제공 장치의 동작 방법.How the service providing device works.
- 제 15항에 있어서,16. The method of claim 15,상기 레코드 관리단계는,The record management step is상기 보안위협 판별정보에 따라 정상메일로 처리되는 경우, 수신 메일 도메인, 발신 메일 도메인, 수신 메일 주소, 발신 메일 주소, 메일 라우팅 정보, 메일 내용 본문 중 하나 이상을 포함하는 상기 레코드정보를 신뢰인증로그로 저장하고 관리하는 관계정보 관리단계;를 더 포함하는In the case where normal mail is processed according to the security threat determination information, the record information including one or more of a receiving mail domain, an outgoing mail domain, an incoming mail address, an outgoing mail address, mail routing information, and the body of the mail content is trusted authentication log Relational information management step of storing and managing as; further comprising서비스 제공 장치의 동작 방법.How the service providing device works.
- 제 16항에 있어서,17. The method of claim 16,상기 메일정보 및 상기 신뢰인증로그 분석에 기초하여 획득되는 관계분석정보를 저장 및 관리하는 관계분석단계;를 더 포함하는Relation analysis step of storing and managing the relationship analysis information obtained based on the analysis of the mail information and the trust authentication log; further comprising서비스 제공 장치의 동작 방법.How the service providing device works.
- 제 17항에 있어서,18. The method of claim 17,상기 보안위협 검사단계는,The security threat inspection step is상기 메일보안 프로세스가 스팸메일 보안 프로세스인 경우, 이메일 헤더 정보, 이메일 제목, 이메일 내용 본문, 일정 기간 수신 횟수 중 하나 이상을 포함하는 상기 메일정보를 사전 설정한 스팸지표와 단계별로 매칭하는 스팸메일 검사단계;When the mail security process is a spam mail security process, the spam mail check that matches the mail information including one or more of email header information, email title, email content body, and the number of times received for a certain period with a preset spam index step by step step;상기 메일보안 프로세스가 악성코드 보안 프로세스인 경우, 첨부파일의 확장자, 첨부파일의 해시정보, 첨부파일명, 첨부파일 내용 본문, URL(Uniform Resource Locator) 정보 중 하나 이상을 포함하는 상기 메일정보를 사전 설정한 악성코드지표와 단계별로 매칭하는 악성코드 검사단계; If the mail security process is a malicious code security process, preset the mail information including one or more of an attachment file extension, attachment file hash information, attachment file name, attachment file content body, and URL (Uniform Resource Locator) information. A malicious code inspection step that matches one malicious code index step by step;상기 메일보안 프로세스가 사칭메일 보안 프로세스인 경우, 상기 관계분석정보에 대하여 사전 설정한 관계분석지표와 단계별로 매칭하는 사칭메일 검사단계; 및when the mail security process is an impersonated mail security process, an impersonated mail checking step of matching with a relationship analysis index preset with respect to the relationship analysis information step by step; and상기 메일보안 프로세스가 메일반출 보안 프로세스인 경우, 상기 메일정보에 기반하여 사전 설정한 메일반출 관리지표와 단계별로 매칭하는 메일반출 검사단계;를 더 포함하는When the mail security process is a mail export security process, a mail export check step of matching step-by-step with a mail export management index set in advance based on the mail information; further comprising서비스 제공 장치의 동작 방법.How the service providing device works.
- 제 15항에 있어서,16. The method of claim 15,상기 메일 처리단계는,The mail processing step is상기 보안위협 판별정보에 따라 정상메일로 판별된 메일에 대하여, 상기 사용자단말이 처리 가능한 수신 또는 발신 상태로 처리하는 메일분배 처리단계; a mail distribution processing step of processing the mail determined to be normal mail according to the security threat determination information into a receiving or sending state that can be processed by the user terminal;상기 보안위협 판별정보에 따라 비정상메일로 판별된 메일에 대하여, 상기 사용자단말의 접근이 불가능한 상태로 처리하는 메일폐기 처리단계; 및a mail disposal processing step of processing the mail determined as abnormal mail according to the security threat determination information in a state in which the user terminal cannot access; and상기 보안위협 판별정보에 따라 그레이메일로 판별된 메일에 대하여, 상기 그레이메일을 비실행파일 콘텐츠로 변환 처리하고 상기 사용자단말이 메일 상태를 선택적으로 처리할 수 있도록 제공하는 메일 무해화 처리단계;를 더 포함하는A mail detoxification processing step of converting the gray mail into non-executable file contents for the mail determined as gray mail according to the security threat determination information, and providing the user terminal to selectively process the mail status; more containing서비스 제공 장치의 동작 방법.How the service providing device works.
- 제 15항에 있어서,16. The method of claim 15,상기 보안위협 판별정보에 따라 비정상메일로 판별된 메일에 대하여, 상기 비정상메일을 비실행파일 콘텐츠로 변환시켜 상기 사용자단말에서 수신 또는 발신 처리가 될 수 있도록 제공하는 취약점 테스트단계;를 더 포함하는Vulnerability testing step of converting the abnormal mail into non-executable file contents for mail determined as abnormal mail according to the security threat determination information so that it can be received or sent from the user terminal; further comprising서비스 제공 장치의 동작 방법.How the service providing device works.
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US18/255,321 US20240007498A1 (en) | 2020-12-21 | 2021-05-24 | Apparatus for providing mail security service using hierarchical architecture based on security level and operation method therefor |
JP2022573716A JP7520329B2 (en) | 2020-12-21 | 2021-05-24 | Apparatus and method for providing e-mail security service using security level-based hierarchical architecture |
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020200180096A KR102454600B1 (en) | 2020-12-21 | 2020-12-21 | Device and its operation methods for providing E-mail security service using hierarchical architecture based on security level |
KR10-2020-0180096 | 2020-12-21 |
Publications (1)
Publication Number | Publication Date |
---|---|
WO2022139078A1 true WO2022139078A1 (en) | 2022-06-30 |
Family
ID=82158088
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
PCT/KR2021/006395 WO2022139078A1 (en) | 2020-12-21 | 2021-05-24 | Apparatus for providing e-mail security service using hierarchical architecture based on security level and operation method therefor |
Country Status (4)
Country | Link |
---|---|
US (1) | US20240007498A1 (en) |
JP (1) | JP7520329B2 (en) |
KR (2) | KR102454600B1 (en) |
WO (1) | WO2022139078A1 (en) |
Families Citing this family (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR102534016B1 (en) * | 2022-07-18 | 2023-05-18 | 주식회사 세퍼드 | Method and device for providing security service linked to support project |
KR102494546B1 (en) * | 2022-07-22 | 2023-02-06 | (주)기원테크 | A mail security processing device and an operation method of Email access security system providing mail communication protocol-based access management and blocking function |
JP2024533008A (en) * | 2022-08-04 | 2024-09-12 | 株式会社ギウォンテク | E-mail security system for blocking and responding to targeted e-mail attacks and method of operation thereof |
JP2024533009A (en) * | 2022-08-04 | 2024-09-12 | 株式会社ギウォンテク | Email security system for blocking and responding to targeted email attacks that inspect for unauthorized email server access attacks and method of operation thereof |
WO2024075871A1 (en) * | 2022-10-07 | 2024-04-11 | 시큐레터 주식회사 | Method and apparatus for processing compressed file having password attached to e-mail |
KR102684949B1 (en) * | 2023-03-02 | 2024-07-15 | 주식회사 리얼시큐 | Method of detecting for mail attacks sent through accounts created by social engineering techniques and mail system accordingly |
CN117150486B (en) * | 2023-07-27 | 2024-04-26 | 河南中信科大数据科技有限公司 | Information safety protection system based on internet |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20110191423A1 (en) * | 2010-01-29 | 2011-08-04 | Mcafee, Inc. | Reputation management for network content classification |
US20120158626A1 (en) * | 2010-12-15 | 2012-06-21 | Microsoft Corporation | Detection and categorization of malicious urls |
KR20130131133A (en) * | 2012-05-23 | 2013-12-03 | 경기대학교 산학협력단 | Method and system for blocking sophisticated phishing mail by monitoring inner and outer traffic |
US20140082726A1 (en) * | 2012-09-14 | 2014-03-20 | Return Path, Inc. | Real-time classification of email message traffic |
KR101989509B1 (en) * | 2017-12-29 | 2019-06-14 | (주)리투인소프트웨어 | A security system and method for e-mail |
Family Cites Families (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100392879B1 (en) * | 2000-06-02 | 2003-08-06 | 주식회사 인터넷엑스퍼트시스템 | E-mail security audit system for corporation security & virus spread by e-mail |
JP3869409B2 (en) * | 2003-11-21 | 2007-01-17 | 株式会社大和総研 | Virus infection prevention system, email viewing program, and attached file viewing program |
JP4515513B2 (en) * | 2008-05-16 | 2010-08-04 | 富士通株式会社 | Messaging virus countermeasure program, etc. |
JP4931881B2 (en) * | 2008-08-13 | 2012-05-16 | 日本電信電話株式会社 | Server allocation system and method using white list |
JP2011008730A (en) * | 2009-06-29 | 2011-01-13 | Lac Co Ltd | Computer system, computer device, file opening method, and program |
JP5435231B2 (en) * | 2010-03-04 | 2014-03-05 | 日本電気株式会社 | E-mail processing apparatus, e-mail processing method, and e-mail processing program |
WO2015072041A1 (en) * | 2013-11-18 | 2015-05-21 | 株式会社日立製作所 | Security-measure training system and security-measure training method |
KR101595379B1 (en) | 2015-02-04 | 2016-02-18 | (주)이월리서치 | Control and blocking system for e-mail attached malignant code |
US10021128B2 (en) * | 2015-03-12 | 2018-07-10 | Forcepoint Llc | Systems and methods for malware nullification |
JP2016224871A (en) * | 2015-06-03 | 2016-12-28 | 富士通株式会社 | Abnormality detection program, abnormality detection device, and abnormality detection method |
JP6988506B2 (en) * | 2018-01-22 | 2022-01-05 | 富士通株式会社 | Security devices, security programs and security methods |
US20190268373A1 (en) * | 2018-02-26 | 2019-08-29 | Mucteba Celik | System, method, apparatus, and computer program product to detect page impersonation in phishing attacks |
JP7100265B2 (en) * | 2019-03-26 | 2022-07-13 | キヤノンマーケティングジャパン株式会社 | Information processing equipment, information processing systems, control methods, and programs |
-
2020
- 2020-12-21 KR KR1020200180096A patent/KR102454600B1/en active IP Right Grant
-
2021
- 2021-05-24 WO PCT/KR2021/006395 patent/WO2022139078A1/en active Application Filing
- 2021-05-24 JP JP2022573716A patent/JP7520329B2/en active Active
- 2021-05-24 US US18/255,321 patent/US20240007498A1/en active Pending
-
2022
- 2022-10-07 KR KR1020220128975A patent/KR102464629B1/en active IP Right Grant
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20110191423A1 (en) * | 2010-01-29 | 2011-08-04 | Mcafee, Inc. | Reputation management for network content classification |
US20120158626A1 (en) * | 2010-12-15 | 2012-06-21 | Microsoft Corporation | Detection and categorization of malicious urls |
KR20130131133A (en) * | 2012-05-23 | 2013-12-03 | 경기대학교 산학협력단 | Method and system for blocking sophisticated phishing mail by monitoring inner and outer traffic |
US20140082726A1 (en) * | 2012-09-14 | 2014-03-20 | Return Path, Inc. | Real-time classification of email message traffic |
KR101989509B1 (en) * | 2017-12-29 | 2019-06-14 | (주)리투인소프트웨어 | A security system and method for e-mail |
Also Published As
Publication number | Publication date |
---|---|
JP7520329B2 (en) | 2024-07-23 |
JP2023527568A (en) | 2023-06-29 |
KR20220141774A (en) | 2022-10-20 |
KR102464629B1 (en) | 2022-11-09 |
US20240007498A1 (en) | 2024-01-04 |
KR20220089459A (en) | 2022-06-28 |
KR102454600B9 (en) | 2023-04-17 |
KR102464629B9 (en) | 2023-04-17 |
KR102454600B1 (en) | 2022-10-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
WO2022139078A1 (en) | Apparatus for providing e-mail security service using hierarchical architecture based on security level and operation method therefor | |
JP5118020B2 (en) | Identifying threats in electronic messages | |
US11677783B2 (en) | Analysis of potentially malicious emails | |
WO2019118838A1 (en) | Using a measure of influence of sender in determining a security risk associated with an electronic message | |
WO2022145501A1 (en) | Device for providing protective service against email security-based zero-day url attack and method for operating same | |
US8336092B2 (en) | Communication control device and communication control system | |
US7096497B2 (en) | File checking using remote signing authority via a network | |
KR20070103774A (en) | Communication control device and communication control system | |
EP2127311B1 (en) | System and method for adding context to prevent data leakage over a computer network | |
KR20000054376A (en) | E-mail security audit system for corporation security & virus spread by e-mail | |
WO2024019506A1 (en) | Mail security processing device of mail access security system that provides access management and blocking function on basis of email communication protocol, and method for operating same | |
WO2023145995A1 (en) | Email security diagnosis device based on quantitative analysis of threat elements, and operation method thereof | |
EP1850234A1 (en) | Communication control device and communication control system | |
WO2024158069A1 (en) | Mail security firewall device and method for operating same | |
KR20240019669A (en) | A email security system for preventing targeted email attacks | |
WO2024029666A1 (en) | Email security system for blocking and responding to targeted email attack and operation method therefor | |
JP2024533009A (en) | Email security system for blocking and responding to targeted email attacks that inspect for unauthorized email server access attacks and method of operation thereof | |
CN117527746A (en) | Mail processing method and device, electronic equipment and storage medium | |
JPWO2009066344A1 (en) | COMMUNICATION CONTROL DEVICE, COMMUNICATION CONTROL SYSTEM, AND COMMUNICATION CONTROL METHOD | |
JPWO2009066349A1 (en) | Communication control device and communication control method |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
ENP | Entry into the national phase |
Ref document number: 2022573716 Country of ref document: JP Kind code of ref document: A |
|
WWE | Wipo information: entry into national phase |
Ref document number: 18255321 Country of ref document: US |
|
NENP | Non-entry into the national phase |
Ref country code: DE |
|
122 | Ep: pct application non-entry in european phase |
Ref document number: 21911148 Country of ref document: EP Kind code of ref document: A1 |